23andMe bestätigte, dass bei einem kürzlichen Verstoß Daten von 6,9 Millionen Benutzern verloren gegangen sind. In einer E-Mail-Erklärung an Der RandLaut Unternehmenssprecher Andy Kill betraf der Verstoß rund 5,5 Millionen Benutzer, die DNA Relatives aktiviert hatten, eine Funktion, die Benutzer mit ähnlichen genetischen Ausstattungen abgleicht, während bei weiteren 1,4 Millionen Menschen auf ihre Stammbaumprofile zugegriffen wurde.
In einer Einreichung bei der Securities and Exchange Commission (SEC) und einer Aktualisierung seines Blog-Beitrags am späten 1. Dezember sagte 23andMe, dass ein Bedrohungsakteur einen Credential-Stuffing-Angriff anwendet – indem er sich mit Kontoinformationen anmeldet, die er bei anderen Sicherheitsverletzungen erhalten hat, normalerweise aufgrund der Wiederverwendung von Passwörtern – haben direkt auf 0,1 Prozent der Benutzerkonten zugegriffen, was etwa 14.000 Benutzern entspricht. Beim Zugriff auf diese Konten nutzten die Angreifer die DNA-Verwandtschaftsfunktion, die Personen mit anderen Mitgliedern zusammenbringt, mit denen sie möglicherweise eine gemeinsame Abstammung haben, um auf die zusätzlichen Informationen von Millionen anderer Profile zuzugreifen.
„Wir haben immer noch keine Hinweise darauf, dass es einen Datensicherheitsvorfall in unseren Systemen gegeben hat“
Der Hacker nahm seine Stellungnahme vom Freitag zur Kenntnis Auch hat über die Funktion „Verwandte“ auf „eine beträchtliche Anzahl von Dateien“ zugegriffen, die oben genannte Zahl jedoch nicht berücksichtigt.
Kill erzählt Der Rand„Wir haben immer noch keine Hinweise darauf, dass es einen Datensicherheitsvorfall in unseren Systemen gegeben hat oder dass 23andMe die Quelle der bei diesen Angriffen verwendeten Kontoanmeldeinformationen war.“ Diese Aussage steht im Widerspruch zu der Tatsache, dass Informationen von 6,9 Millionen Nutzern mittlerweile in den Händen von Angreifern sind. Die überwiegende Mehrheit dieser Personen ist betroffen, weil sie sich für eine von 23andMe bereitgestellte Funktion entschieden haben, die den Verstoß nicht verhindern konnte, indem sie entweder den Zugriff auf die Informationen einschränkte oder zusätzliche Kontosicherheit erforderte.
Die ersten öffentlichen Anzeichen von Problemen traten im Oktober auf, als 23andMe bestätigte, dass Benutzerinformationen im Dark Web zum Verkauf angeboten wurden. Die Website für Gentests sagte später, sie untersuche die Behauptungen eines Hackers, er habe 4 Millionen genetische Profile von Menschen in Großbritannien und „den reichsten Menschen in den USA und Westeuropa“ durchsickern lassen.
Zu den durchgesickerten 5,5 Millionen Profilen von DNA Relatives gehörten Benutzer, die nicht Teil des ersten Credential-Stuffing-Angriffs waren. Zu den offengelegten Daten gehören Dinge wie Anzeigenamen, vorhergesagte Beziehungen zu anderen, die Menge an DNA, die Benutzer mit Übereinstimmungen teilen, Abstammungsberichte, selbst gemeldete Orte, Geburtsorte von Vorfahren, Familiennamen, Profilbilder und mehr.
Die übrigen 1,4 Millionen Nutzer, die auch an der Funktion „DNA Relatives“ teilnahmen, hatten Zugriff auf ihre Stammbaumprofile. Zu dieser Funktion gehören ebenfalls Anzeigenamen, Beziehungsbezeichnungen, Geburtsjahr und selbst gemeldete Orte. Es umfasst nicht den Prozentsatz der DNA, die mit potenziellen Verwandten auf der Website geteilt wird, oder übereinstimmende DNA-Segmente.
23andMe gibt an, noch dabei zu sein, die von dem Verstoß betroffenen Benutzer zu benachrichtigen. Es hat außerdem damit begonnen, Benutzer zu warnen, ihre Passwörter zurückzusetzen, und erfordert nun eine zweistufige Verifizierung für neue und bestehende Benutzer, die zuvor optional war.
