23andMe เผยข้อมูลผู้ใช้ถูกขโมยจากการโจมตีแบบ Credential Stuffing

 (bleepingcomputer.com)
1 คะแนน โดย GN⁺ 2023-10-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • 23andMe บริษัทเทคโนโลยีชีวภาพและจีโนมิกส์ของสหรัฐฯ ยืนยันว่าเกิด การรั่วไหลของข้อมูล ที่เกี่ยวข้องกับข้อมูลผู้ใช้บนแพลตฟอร์มของตน
  • บริษัทระบุว่าการรั่วไหลดังกล่าวมีสาเหตุมาจาก การโจมตีแบบ credential stuffing
  • การรั่วไหลในระยะแรกมีขอบเขตจำกัด โดยผู้ไม่หวังดีได้เผยแพร่ข้อมูลจำนวน 1 ล้านแถวเกี่ยวกับผู้ที่มีเชื้อสายอาซเคนาซี
  • ต่อมาผู้ไม่หวังดีเสนอขายโปรไฟล์ข้อมูลจำนวนมากในราคา 1-10 ดอลลาร์ต่อบัญชี 23andMe
  • ข้อมูลที่ถูกเปิดเผยประกอบด้วยชื่อ-นามสกุล, ชื่อผู้ใช้, รูปโปรไฟล์, เพศ, วันเกิด, ผลลัพธ์เชื้อสายทางพันธุกรรม และตำแหน่งที่ตั้งทางภูมิศาสตร์
  • บัญชีที่ถูกละเมิดได้เข้าร่วมฟีเจอร์ 'DNA Relatives' ของแพลตฟอร์ม ซึ่งช่วยให้ผู้ใช้ค้นหาและเชื่อมต่อกับญาติทางพันธุกรรมได้
  • ผู้ไม่หวังดีเข้าถึงบัญชี 23andMe ได้เพียงส่วนน้อย ก่อนจะขูดข้อมูลการจับคู่ญาติทาง DNA ของบัญชีเหล่านั้นออกไป
  • 23andMe ระบุว่าข้อมูลรับรองการเข้าสู่ระบบที่ถูกใช้ในการพยายามเข้าถึงครั้งนี้ อาจเป็นข้อมูลที่ผู้ไม่หวังดีรวบรวมมาจากเหตุข้อมูลรั่วไหลบนแพลตฟอร์มออนไลน์อื่น ซึ่งผู้ใช้เคยนำข้อมูลเข้าสู่ระบบชุดเดิมไปใช้ซ้ำ
  • บริษัทมี การยืนยันตัวตนแบบสองชั้น เป็นมาตรการปกป้องบัญชีเพิ่มเติม และแนะนำให้ผู้ใช้ทุกคนเปิดใช้งาน
  • ผู้ใช้ได้รับคำแนะนำให้หลีกเลี่ยงการใช้รหัสผ่านซ้ำ และใช้ข้อมูลรับรองที่แข็งแรงและไม่ซ้ำกันอย่างสม่ำเสมอในทุกบัญชีออนไลน์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-08
ความเห็นจาก Hacker News
  • การขโมยข้อมูลผู้ใช้จาก 23andMe เกิดจากการโจมตีแบบ credential stuffing ที่ใช้ฐานข้อมูลอีเมล/รหัสผ่านซึ่งรั่วไหลมาก่อนหน้านี้เพื่อเข้าถึงเว็บไซต์
  • ปัญหาเกิดขึ้นเพราะผู้คนใช้รหัสผ่านซ้ำ และไม่ได้เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัย
  • ข้อมูลที่ถูกนำไปขายมีทั้งอีเมล/รหัสผ่านจากการรั่วไหลอื่นที่ใช้กับ 23andMe ได้ และข้อมูลที่ 23andMe มีอยู่เกี่ยวกับผู้ใช้นั้น
  • เหตุการณ์นี้ก่อให้เกิดความกังวลเกี่ยวกับ "สิทธิ์แบบส่งต่อ" หรือ "สิทธิ์บนเครือข่าย" ซึ่งหมายความว่าเมื่อให้สิทธิ์เข้าถึงกับคนหนึ่งแล้ว อาจทำให้เข้าถึงคนอื่นได้ด้วย
  • ผู้ใช้บางคนหลีกเลี่ยงการตรวจพันธุกรรมเพราะความกังวลด้านความปลอดภัยเหล่านี้
  • มีการคาดเดาว่าแฮ็กเกอร์อาจเข้าถึงข้อมูลทั้งหมดได้ แต่เลือกเปิดเผยเฉพาะบันทึก 1.3 ล้านรายการของชาวยิวอัชเคนาซี
  • ผู้ใช้บางคนเชื่อว่าการละเมิดลักษณะนี้จะยังคงเกิดขึ้นต่อไป จนกว่าจะมีความรับผิดทางอาญาสำหรับความประมาทในการเก็บรักษา/ปกป้องข้อมูล
  • การที่ 23andMe ร่วมมือกับหน่วยงานบังคับใช้กฎหมาย และความสามารถในการระบุตัวบุคคลจากตัวอย่าง DNA ของญาติห่าง ๆ ระดับลูกพี่ลูกน้องชั้นสาม ทำให้เกิดความกังวลด้านความเป็นส่วนตัว
  • การที่บริษัทตรวจพันธุกรรม 1Health.io ถูก FTC ปรับเพียง 75,000 ดอลลาร์ จากการไม่สามารถปกป้องข้อมูลที่อ่อนไหวได้ ถูกมองว่าเป็นหลักฐานว่ารัฐบาลไม่ได้ให้ความสำคัญกับความเป็นส่วนตัวอย่างจริงจัง
  • มีรายงานว่าบริการด้านลำดับวงศ์ตระกูลบางแห่งขอข้อมูลรับรอง 23andMe ของผู้ใช้โดยตรง ซึ่งบ่งชี้ว่าความปลอดภัยในภาคส่วนนี้อ่อนแอ
  • เหตุการณ์นี้กระตุ้นให้เกิดเสียงวิจารณ์ต่อการที่ผู้คนไว้วางใจมอบข้อมูลพันธุกรรมของตนให้กับบริษัทเอกชน