23andMe ยืนยันข้อมูลผู้ใช้ถูกขโมยจากการโจมตีแบบ Credential Stuffing
(bleepingcomputer.com)- ข้อมูลผู้ใช้ของบริการตรวจพันธุกรรม 23andMe ถูกเผยแพร่ในฟอรัมแฮ็กเกอร์ และบริษัทมองว่าสาเหตุคือการโจมตีแบบ Credential Stuffing ที่อาศัยการใช้รหัสผ่านซ้ำ
- ผู้โจมตีเข้าถึง บัญชี 23andMe.com ด้วยข้อมูลล็อกอินที่รั่วไหลจากการละเมิดแพลตฟอร์มออนไลน์อื่น ๆ และระบุว่าจนถึงขณะนี้ยังไม่พบสัญญาณว่าระบบภายในของบริษัทถูกบุกรุก
- รายการที่ถูกเปิดเผยประกอบด้วยข้อมูลที่ระบุตัวบุคคลได้สูง เช่น ชื่อจริง, ชื่อผู้ใช้, รูปโปรไฟล์, เพศ, วันเกิด, ผลลัพธ์บรรพบุรุษทางพันธุกรรม, ตำแหน่งทางภูมิศาสตร์
- ตัวอย่างข้อมูลชุดแรกเป็นข้อมูลของชาว Ashkenazi จำนวน 1 ล้านแถว และต่อมาในวันที่ 4 ตุลาคม มีข้อเสนอขายข้อมูลจำนวนมากในราคา 1~10 ดอลลาร์ ต่อบัญชี
- เมื่อข้อมูลการจับคู่ของบัญชีที่เปิดใช้ฟีเจอร์ DNA Relatives ถูกดึงออกไป แสดงให้เห็นว่าฟีเจอร์โซเชียลแบบเลือกใช้เองอาจกลายเป็นช่องทางเปิดเผยข้อมูลส่วนบุคคลโดยไม่คาดคิดได้
ข้อมูล 23andMe ที่พบในฟอรัมแฮ็กเกอร์
- 23andMe รับทราบว่าข้อมูลผู้ใช้แพลตฟอร์มของตนกำลังถูกเผยแพร่ในฟอรัมแฮ็กเกอร์ และมองว่าเป็นการรั่วไหลจากการโจมตีแบบ Credential Stuffing
- บริษัทนี้เป็นบริษัทชีวเทคโนโลยีและจีโนมิกส์ของสหรัฐฯ ที่ให้รายงานเกี่ยวกับบรรพบุรุษและแนวโน้มทางพันธุกรรม เมื่อลูกค้าส่งตัวอย่างน้ำลายไปยังห้องแล็บ
- ผู้คุกคามรายหนึ่งเผยแพร่ตัวอย่างข้อมูลที่อ้างว่าขโมยมาจากบริษัทด้านพันธุศาสตร์ และไม่กี่วันต่อมาก็เสนอขายแพ็กข้อมูลลูกค้าของ 23andMe
Credential Stuffing และจุดยืนของบริษัท
- โฆษกของ 23andMe ยืนยันว่าข้อมูลที่โพสต์ในฟอรัมเป็น ข้อมูลจริงของ 23andMe
- คาดว่าผู้โจมตีใช้ข้อมูลประจำตัวที่รั่วไหลจากเหตุละเมิดอื่น ๆ เพื่อเข้าถึงบัญชี 23andMe และขโมยข้อมูลละเอียดอ่อน
- บริษัทระบุว่าขณะนี้ยังไม่มีสัญญาณว่าเกิด เหตุการณ์ด้านความปลอดภัยของข้อมูล ภายในระบบของตน
- ผลการสอบสวนเบื้องต้นชี้ว่า ข้อมูลล็อกอินที่ผู้ใช้ใช้ซ้ำในหลายแพลตฟอร์มออนไลน์อาจรั่วไหลจากเหตุการณ์อื่นแล้วถูกผู้โจมตีรวบรวมไป
ขอบเขตของข้อมูลที่รั่วไหลและถูกขาย
- แม้ข้อมูลที่เปิดเผยในช่วงแรกจะมีขอบเขตจำกัด แต่ผู้คุกคามได้เผยแพร่ข้อมูลของ ชาว Ashkenazi จำนวน 1 ล้านแถว
- วันที่ 4 ตุลาคม มีข้อเสนอขายโปรไฟล์ข้อมูลแบบจำนวนมากในราคา 1~10 ดอลลาร์ ต่อบัญชี 23andMe ขึ้นอยู่กับปริมาณที่ซื้อ
- ข้อมูลที่ถูกเปิดเผยประกอบด้วยรายการต่อไปนี้
- ชื่อเต็ม
- ชื่อผู้ใช้
- รูปโปรไฟล์
- เพศ
- วันเกิด
- ผลลัพธ์บรรพบุรุษทางพันธุกรรม
- ตำแหน่งทางภูมิศาสตร์
การแพร่กระจายผ่านฟีเจอร์ DNA Relatives
- จำนวนบัญชีที่ถูกขายไม่ได้ตรงกับ จำนวนบัญชี 23andMe ที่ถูกบุกรุกด้วยข้อมูลประจำตัวที่รั่วไหลโดยตรง
- บัญชีที่ถูกบุกรุกเปิดใช้งานฟีเจอร์ DNA Relatives ของ 23andMe อยู่
- DNA Relatives เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้ค้นหาและเชื่อมต่อกับญาติทางพันธุกรรมได้
- ผู้โจมตีเข้าถึงบัญชี 23andMe จำนวนเล็กน้อย จากนั้นจึงสแครปข้อมูลการจับคู่ DNA Relatives ของบัญชีเหล่านั้น
- กรณีนี้แสดงให้เห็นว่าการเข้าร่วมใช้งานฟีเจอร์บางอย่างอาจนำไปสู่ การเปิดเผยข้อมูลส่วนบุคคล โดยไม่คาดคิดได้
มาตรการป้องกันที่ผู้ใช้ทำได้
- 23andMe มี การยืนยันตัวตนแบบ 2 ขั้นตอน เพื่อปกป้องบัญชี และแนะนำให้ผู้ใช้ทุกคนเปิดใช้งาน
- ดูคำแนะนำที่เกี่ยวข้องได้ที่ Adding 2-Step Verification to Your 23andMe Account
- ผู้ใช้ควรหลีกเลี่ยงการใช้รหัสผ่านซ้ำ และควรใช้ ข้อมูลประจำตัว ที่แข็งแรงและแตกต่างกันสำหรับบัญชีออนไลน์ทุกบัญชี
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ถ้าผมไม่ได้อ่านผิด ดูเหมือนว่ามีใครบางคนมีฐานข้อมูลอีเมล/รหัสผ่านที่รั่วไหลอยู่แล้ว แล้วเอาไปลองกับ 23andMe และถ้าล็อกอินได้ก็เอาข้อมูลที่เข้าถึงได้ไป
จริงอยู่ที่ 23andMe มีข้อมูลที่กว้างขวางและเป็นส่วนตัวมาก แต่การโจมตีแบบนี้ทำได้กับเว็บไซต์แทบทุกแห่งตามตัวอักษร
ประเด็นหลักคือผู้คน ใช้รหัสผ่านซ้ำ และไม่ได้เปิด การยืนยันตัวตนแบบ 2 ขั้นตอน
ดังนั้นฐานข้อมูลที่ขายอยู่ก็เป็นแค่รายการอีเมล/รหัสผ่านจากการรั่วไหลอื่นที่ใช้กับ 23andMe ได้ด้วย และข้อมูล 23andMe ที่อยู่ในบัญชีนั้น ๆ
พูดให้ถูกคือคงมองว่าเป็นการเจาะระบบของ 23andMe เองได้ยาก
ไม่เข้าใจว่าทำไมถึงอนุญาตให้ล็อกอินบัญชีจาก IP ใหม่ได้โดยไม่ตรวจสอบเพิ่มเติม
ในเมื่อมีอีเมลอยู่แล้ว อย่างน้อยก็ควรทำการยืนยันตัวตนสองขั้นตอนผ่านอีเมลได้ และอย่างที่คนอื่นพูด CAPTCHA ก็ทำให้การโจมตีช้าลงและแพงขึ้นได้
ที่ทำงานของผมใช้ทั้งสองอย่าง ดังนั้นการโจมตีนี้จึงไม่ได้ “ทำได้กับเว็บไซต์แทบทุกแห่งตามตัวอักษร”
เป็นเรื่องน่าอายที่บริษัทที่โตเต็มที่ถึงขั้นจดทะเบียนในตลาดหลักทรัพย์ ปล่อยให้เกิด credential stuffing ในระดับหลายล้านบัญชี ได้
สิ่งสำคัญที่สุดในบรรดาสิ่งที่ผู้คนเข้าถึงได้คือ โปรไฟล์ DNA ดิบทั้งหมด และผู้เสียหายจำนวนมากถูกเปิดเผยข้อมูลเพราะคนที่ยินยอมใช้ฟีเจอร์ “Relatives” แม้ว่าบัญชีของตัวเองจะปลอดภัยก็ตาม
“การยืนยันตัวตนแบบ 2 ขั้นตอนถูกปิดอยู่” ควรได้รับอนุญาตให้อยู่ร่วมกับ “ข้อมูลที่กว้างขวางและเป็นส่วนตัวมาก” หรือไม่
สิ่งที่น่าผิดหวังคือการโจมตีนี้ ได้ผลดีในระดับใหญ่
บางเว็บไซต์อาจถูกโจมตีแบบนี้ในวงกว้างได้ แต่ถ้าเลือกเมตริกที่เหมาะสมมาตรวจสอบและตั้งการแจ้งเตือน ฝั่งผู้รับจะเห็นสัญญาณแบบนี้ค่อนข้างดังชัด
พวกเขาบอกว่า “ขณะนี้ยังไม่มีสัญญาณว่ามีเหตุการณ์ด้านความปลอดภัยของข้อมูลภายในระบบของเรา” แต่ถ้าระบบนั้นถูกใช้เพื่อดึงข้อมูลลูกค้า และเพิ่งรู้หลังจากข้อมูลลูกค้าถูกนำไปขายแล้ว ก็ต้องเริ่มปรับปรุงจากตรงนั้น
จากการเปิดเผยที่ล่าช้าแบบนี้ ดูเหมือนเป็นไปได้ว่าเพิ่งรู้หลังจากได้รับคำถามจากสื่อ
ดาวน์โหลดฐานข้อมูลรหัสผ่านแบบแฮชของ Troy Hunt มา แล้วตรวจตอนล็อกอิน หากเป็นรหัสผ่านที่รั่วไหลก็ส่งไปยังกระบวนการรีเซ็ตรหัสผ่านผ่านอีเมล
หรือจะใช้ API ก็ได้
ง่ายมาก และผมคิดว่ามันเป็นแนวปฏิบัติที่ดีที่ได้รับการยอมรับมาตั้งแต่ราวปี 2017
เรื่องนี้เป็นความรับผิดชอบของ 23andMe 100%
https://haveibeenpwned.com/Passwords
สงสัยว่าบริษัทต่าง ๆ จะเริ่มทบทวน “สิทธิ์แบบถ่ายทอด” หรือ “สิทธิ์แบบเครือข่าย” อย่างจริงจังหรือไม่
คล้ายกับกรณีที่ Facebook เคยโดนหนักมาก
ผมเคยมีสิทธิ์ดูข้อมูลทั้งหมดของเพื่อน ๆ และในอดีต แค่กดปุ่มเดียวก็สามารถทำให้ใครบางคนที่ร้องขอเห็นไม่ใช่แค่ข้อมูลของผม แต่รวมถึงข้อมูลของเพื่อน ๆ ผมด้วย
จากมุมมองวิทยาการคอมพิวเตอร์มันก็สมเหตุสมผล: ถ้าผมเปิดให้คุณเห็นข้อมูลทั้งหมดของผม ผมก็ไม่สามารถควบคุมได้ว่าคุณจะเอาไปแชร์กับใครต่อ
แต่จากมุมมองของคนทั่วไป คนส่วนใหญ่ไม่ได้คิดว่าการที่ผมให้สิทธิ์เข้าถึงแก่คุณ แท้จริงแล้วคือ การให้สิทธิ์เข้าถึงแก่ทั้งโลก
สิทธิ์แบบเครือข่าย แบบนี้ทำให้บริษัทที่ถือข้อมูลดังกล่าวกลายเป็นเป้าหมายหลัก
เพราะผู้โจมตีแฮ็กได้เพียงไม่กี่บัญชี ก็อาจได้ข้อมูลเพิ่มขึ้นแบบทวีคูณ
หมายถึงขอบเขตที่เจ้าของโพสต์ตั้งค่าให้เพื่อนของเพื่อนเห็นได้
ตามทวีตนี้ เป็นไปได้ว่าแฮ็กเกอร์ได้ข้อมูลทั้งหมดมา แต่ปล่อยออกมาเพียงบางส่วน คือ 1.3 ล้านระเบียน
ว่ากันว่าส่วนนั้นเป็นข้อมูลของชาวยิวอัชเคนาซี
https://x.com/mattjay/status/1710370423311888724?s=20
ชาวยิวอัชเคนาซี ค่อนข้างแยกตัวทางพันธุกรรมจากกลุ่มอื่น ๆ ในยุโรป และเริ่มจากกลุ่มผู้ก่อตั้งที่ค่อนข้างเล็ก
ดังนั้นเมื่อดูตามตัวชี้วัดมาตรฐาน พวกเขาจึงถูกตรวจพบว่าเป็นญาติห่าง ๆ กันทางพันธุกรรม
กล่าวคือ ลูกค้า 23andMe ที่เป็นชาวยิวอัชเคนาซีทั่วไปน่าจะเห็นรายชื่อญาติมากกว่าลูกค้าคนอื่นมาก และจึงดูโปรไฟล์ได้มากกว่าตามไปด้วย
ดังนั้นคงไม่น่าจะเป็นข้อมูลอัชเคนาซีทั้งหมด
และก็ไม่มีหลักฐานด้วยว่าเป็นข้อมูลทั้งหมด
ผมคิดว่าเป็นไอเดียที่น่าสนใจ แต่ก็เพราะเหตุผลแบบนี้แหละที่ผมปฏิเสธ การตรวจพันธุกรรม แบบนี้มาตลอด
กลายเป็นว่าไม่จำเป็นต้องซับซ้อนขนาดนั้น แค่ให้ผู้คนส่งมาเองทางไปรษณีย์ก็พอ ;)
แต่ดูเหมือนว่าน้ำจะหกไปแล้ว
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
คิดว่าต่อไปก็คงจะไม่ใช้บริการแบบนี้
พูดมาหลายครั้งแล้ว แต่เรื่องแบบนี้จะยังเกิดขึ้นต่อไปจนกว่าจะมี ความรับผิดทางอาญา สำหรับความประมาทในการเก็บรักษาและปกป้องข้อมูล
บริษัททั้งหลายไม่สนใจหรอก และไม่ว่า PR จะพูดอย่างไร พวกเขาก็จะไม่สนใจจนกว่าตัวเองจะตกอยู่ในความเสี่ยงโดยตรง
ทุกครั้งที่เกิดการละเมิด ก็จะทำเหมือน British Petroleum พูดซ้ำ ๆ ว่า “เราขอโทษจริง ๆ” แล้วซื้อ LifeLock ให้ผู้คน
ไร้สาระสิ้นดี
ตามบทความ บริษัทไม่ได้ถูกเจาะ แต่เป็นบัญชีรายบุคคลที่ใช้ข้อมูลรับรองซ้ำซึ่งรั่วมาจากการละเมิดอื่นที่ถูกขโมยไป
ควรมีการยืนยันตัวตนสองขั้นตอนก็จริง แต่ไม่คิดว่าควรทำให้ การไม่มีการยืนยันตัวตนสองขั้นตอน เป็นอาชญากรรม
ผมลองเข้าไปดูเว็บที่อยู่ในสกรีนช็อต เห็นมีคนขายสิ่งที่อ้างว่าเป็นเอกสาร NATO ที่รั่วไหลจากการเยือนฟิลิปปินส์ เช่น “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT ฯลฯ”
ยังมีรายการฐานข้อมูลพลเมืองยูเครนปี 2023 อีกชุดหนึ่งด้วย
CIA ได้โปรดอย่าฆ่าผมนะ! สาบานได้ว่าผมแค่บังเอิญเห็นเท่านั้น
ยังไงก็ตาม ผมต้องกลับไปทำงานแล้ว
75,000 ดอลลาร์เนี่ยนะ
เป็นวิธีบอกให้เห็นโดยไม่ต้องพูดว่า รัฐบาล ไม่ได้ให้ความสำคัญกับความเป็นส่วนตัวอย่างจริงจัง
เมื่อ 3 สัปดาห์ก่อน บริษัทตรวจพันธุกรรม 1Health.io ตกลงจ่าย ค่าปรับ 75,000 ดอลลาร์ ให้ FTC เพื่อยุติข้อกล่าวหาว่าไม่ได้ปกป้องข้อมูลพันธุกรรมและสุขภาพที่อ่อนไหวอย่างเหมาะสม แก้ไขนโยบายความเป็นส่วนตัวย้อนหลังโดยไม่แจ้งหรือขอความยินยอมจากลูกค้าที่ตนได้รับข้อมูลมา และหลอกลูกค้าว่าสามารถลบข้อมูลของตนเองได้
หวังว่าบริษัทจะล่มสลายไปเลย
ไม่ได้มีงานวิจัยพันธุกรรมต้องห้ามเกิดขึ้น ไม่ได้มีเบี้ยประกันสูงขึ้น และไม่ได้มีการกวาดล้างชาติพันธุ์เพราะข้อมูลนี้
อาจมีการขโมยตัวตนและการฉ้อโกงธนาคารอยู่บ้าง แต่โดยรวมระบบที่มีอยู่ก็รับมือได้
ไปถูกจับได้ที่ปลายทางอีกด้านหนึ่ง
ถ้าอยากได้ค่าปรับก้อนใหญ่ ก็ต้องพิสูจน์ให้ได้ว่ามี ความเสียหายร้ายแรง
ถ้าให้ความสำคัญกับความเป็นส่วนตัวจริง ๆ ก็ควร ให้เงินสนับสนุน 75,000 ดอลลาร์ เพื่อแก้ปัญหา
ถ้าดึง 75,000 ดอลลาร์ออกจากงบวิศวกรรม ก็จะยิ่งทำได้แย่ลง และข้อมูลจะรั่วมากขึ้น
ถ้าพูดถึงผลกระทบด้านความเป็นส่วนตัวของการส่ง DNA ไปซีเควนซ์ “เอาสนุก” 23andMe ก็ร่วมมือกับหน่วยงานบังคับใช้กฎหมายอยู่แล้ว
วิทยาการข้อมูลก็ดีขึ้นพอแล้วด้วย ถึงแม้ผมจะไม่เคยส่งตัวอย่าง DNA เอง แต่ถ้า ญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 หนึ่งคน ส่งตัวอย่างไป ก็สามารถคาดเดาตัวตนของผมได้
คนทั่วไปมีญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 ประมาณ 200 คน
สมมติว่าหนึ่งในญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 ของผม 200 คนทำการตรวจแบบป้ายกระพุ้งแก้มกับ 23andMe แล้วต่อมาผมก่ออาชญากรรม อาจจะอยู่อีกฝั่งของประเทศ
หน่วยงานบังคับใช้กฎหมายเก็บหลักฐาน DNA ได้
แล้วเกิดอะไรขึ้นต่อ
เท่าที่รู้ มีบริการลำดับวงศ์ตระกูลที่ทำแผนภูมิ Leeds-Collins ซึ่งทำงานโดยขอ ข้อมูลรับรอง 23andMe จากผู้ใช้
คล้ายกับบริการธนาคารของบุคคลที่สามบางแห่งที่ขอข้อมูลรับรองธนาคารจากผู้ใช้โดยตรง
ในวงการนี้มีแนวปฏิบัติด้านความปลอดภัยที่แย่มากจริง ๆ
สงสัยว่า 23andMe อาจส่งรหัสผ่านของบัญชีพ่อที่ผมทำหายไปเมื่อหลายปีก่อน และตอนนี้ไม่มีที่อยู่อีเมลแล้ว ให้ได้ไหม
ถ้ามีอยู่ในนั้น ก็อาจมีรหัสผ่านด้วย