1 คะแนน โดย GN⁺ 2023-10-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ข้อมูลผู้ใช้ของบริการตรวจพันธุกรรม 23andMe ถูกเผยแพร่ในฟอรัมแฮ็กเกอร์ และบริษัทมองว่าสาเหตุคือการโจมตีแบบ Credential Stuffing ที่อาศัยการใช้รหัสผ่านซ้ำ
  • ผู้โจมตีเข้าถึง บัญชี 23andMe.com ด้วยข้อมูลล็อกอินที่รั่วไหลจากการละเมิดแพลตฟอร์มออนไลน์อื่น ๆ และระบุว่าจนถึงขณะนี้ยังไม่พบสัญญาณว่าระบบภายในของบริษัทถูกบุกรุก
  • รายการที่ถูกเปิดเผยประกอบด้วยข้อมูลที่ระบุตัวบุคคลได้สูง เช่น ชื่อจริง, ชื่อผู้ใช้, รูปโปรไฟล์, เพศ, วันเกิด, ผลลัพธ์บรรพบุรุษทางพันธุกรรม, ตำแหน่งทางภูมิศาสตร์
  • ตัวอย่างข้อมูลชุดแรกเป็นข้อมูลของชาว Ashkenazi จำนวน 1 ล้านแถว และต่อมาในวันที่ 4 ตุลาคม มีข้อเสนอขายข้อมูลจำนวนมากในราคา 1~10 ดอลลาร์ ต่อบัญชี
  • เมื่อข้อมูลการจับคู่ของบัญชีที่เปิดใช้ฟีเจอร์ DNA Relatives ถูกดึงออกไป แสดงให้เห็นว่าฟีเจอร์โซเชียลแบบเลือกใช้เองอาจกลายเป็นช่องทางเปิดเผยข้อมูลส่วนบุคคลโดยไม่คาดคิดได้

ข้อมูล 23andMe ที่พบในฟอรัมแฮ็กเกอร์

  • 23andMe รับทราบว่าข้อมูลผู้ใช้แพลตฟอร์มของตนกำลังถูกเผยแพร่ในฟอรัมแฮ็กเกอร์ และมองว่าเป็นการรั่วไหลจากการโจมตีแบบ Credential Stuffing
  • บริษัทนี้เป็นบริษัทชีวเทคโนโลยีและจีโนมิกส์ของสหรัฐฯ ที่ให้รายงานเกี่ยวกับบรรพบุรุษและแนวโน้มทางพันธุกรรม เมื่อลูกค้าส่งตัวอย่างน้ำลายไปยังห้องแล็บ
  • ผู้คุกคามรายหนึ่งเผยแพร่ตัวอย่างข้อมูลที่อ้างว่าขโมยมาจากบริษัทด้านพันธุศาสตร์ และไม่กี่วันต่อมาก็เสนอขายแพ็กข้อมูลลูกค้าของ 23andMe

Credential Stuffing และจุดยืนของบริษัท

  • โฆษกของ 23andMe ยืนยันว่าข้อมูลที่โพสต์ในฟอรัมเป็น ข้อมูลจริงของ 23andMe
  • คาดว่าผู้โจมตีใช้ข้อมูลประจำตัวที่รั่วไหลจากเหตุละเมิดอื่น ๆ เพื่อเข้าถึงบัญชี 23andMe และขโมยข้อมูลละเอียดอ่อน
  • บริษัทระบุว่าขณะนี้ยังไม่มีสัญญาณว่าเกิด เหตุการณ์ด้านความปลอดภัยของข้อมูล ภายในระบบของตน
  • ผลการสอบสวนเบื้องต้นชี้ว่า ข้อมูลล็อกอินที่ผู้ใช้ใช้ซ้ำในหลายแพลตฟอร์มออนไลน์อาจรั่วไหลจากเหตุการณ์อื่นแล้วถูกผู้โจมตีรวบรวมไป

ขอบเขตของข้อมูลที่รั่วไหลและถูกขาย

  • แม้ข้อมูลที่เปิดเผยในช่วงแรกจะมีขอบเขตจำกัด แต่ผู้คุกคามได้เผยแพร่ข้อมูลของ ชาว Ashkenazi จำนวน 1 ล้านแถว
  • วันที่ 4 ตุลาคม มีข้อเสนอขายโปรไฟล์ข้อมูลแบบจำนวนมากในราคา 1~10 ดอลลาร์ ต่อบัญชี 23andMe ขึ้นอยู่กับปริมาณที่ซื้อ
  • ข้อมูลที่ถูกเปิดเผยประกอบด้วยรายการต่อไปนี้
    • ชื่อเต็ม
    • ชื่อผู้ใช้
    • รูปโปรไฟล์
    • เพศ
    • วันเกิด
    • ผลลัพธ์บรรพบุรุษทางพันธุกรรม
    • ตำแหน่งทางภูมิศาสตร์

การแพร่กระจายผ่านฟีเจอร์ DNA Relatives

  • จำนวนบัญชีที่ถูกขายไม่ได้ตรงกับ จำนวนบัญชี 23andMe ที่ถูกบุกรุกด้วยข้อมูลประจำตัวที่รั่วไหลโดยตรง
  • บัญชีที่ถูกบุกรุกเปิดใช้งานฟีเจอร์ DNA Relatives ของ 23andMe อยู่
  • DNA Relatives เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้ค้นหาและเชื่อมต่อกับญาติทางพันธุกรรมได้
  • ผู้โจมตีเข้าถึงบัญชี 23andMe จำนวนเล็กน้อย จากนั้นจึงสแครปข้อมูลการจับคู่ DNA Relatives ของบัญชีเหล่านั้น
  • กรณีนี้แสดงให้เห็นว่าการเข้าร่วมใช้งานฟีเจอร์บางอย่างอาจนำไปสู่ การเปิดเผยข้อมูลส่วนบุคคล โดยไม่คาดคิดได้

มาตรการป้องกันที่ผู้ใช้ทำได้

  • 23andMe มี การยืนยันตัวตนแบบ 2 ขั้นตอน เพื่อปกป้องบัญชี และแนะนำให้ผู้ใช้ทุกคนเปิดใช้งาน
  • ดูคำแนะนำที่เกี่ยวข้องได้ที่ Adding 2-Step Verification to Your 23andMe Account
  • ผู้ใช้ควรหลีกเลี่ยงการใช้รหัสผ่านซ้ำ และควรใช้ ข้อมูลประจำตัว ที่แข็งแรงและแตกต่างกันสำหรับบัญชีออนไลน์ทุกบัญชี

1 ความคิดเห็น

 
GN⁺ 2023-10-08
ความคิดเห็นจาก Hacker News
  • ถ้าผมไม่ได้อ่านผิด ดูเหมือนว่ามีใครบางคนมีฐานข้อมูลอีเมล/รหัสผ่านที่รั่วไหลอยู่แล้ว แล้วเอาไปลองกับ 23andMe และถ้าล็อกอินได้ก็เอาข้อมูลที่เข้าถึงได้ไป
    จริงอยู่ที่ 23andMe มีข้อมูลที่กว้างขวางและเป็นส่วนตัวมาก แต่การโจมตีแบบนี้ทำได้กับเว็บไซต์แทบทุกแห่งตามตัวอักษร
    ประเด็นหลักคือผู้คน ใช้รหัสผ่านซ้ำ และไม่ได้เปิด การยืนยันตัวตนแบบ 2 ขั้นตอน
    ดังนั้นฐานข้อมูลที่ขายอยู่ก็เป็นแค่รายการอีเมล/รหัสผ่านจากการรั่วไหลอื่นที่ใช้กับ 23andMe ได้ด้วย และข้อมูล 23andMe ที่อยู่ในบัญชีนั้น ๆ
    พูดให้ถูกคือคงมองว่าเป็นการเจาะระบบของ 23andMe เองได้ยาก

    • ถึงจะเป็นอย่างนั้น 23andMe ก็ควรป้องกันได้ดีกว่านี้
      ไม่เข้าใจว่าทำไมถึงอนุญาตให้ล็อกอินบัญชีจาก IP ใหม่ได้โดยไม่ตรวจสอบเพิ่มเติม
      ในเมื่อมีอีเมลอยู่แล้ว อย่างน้อยก็ควรทำการยืนยันตัวตนสองขั้นตอนผ่านอีเมลได้ และอย่างที่คนอื่นพูด CAPTCHA ก็ทำให้การโจมตีช้าลงและแพงขึ้นได้
      ที่ทำงานของผมใช้ทั้งสองอย่าง ดังนั้นการโจมตีนี้จึงไม่ได้ “ทำได้กับเว็บไซต์แทบทุกแห่งตามตัวอักษร”
      เป็นเรื่องน่าอายที่บริษัทที่โตเต็มที่ถึงขั้นจดทะเบียนในตลาดหลักทรัพย์ ปล่อยให้เกิด credential stuffing ในระดับหลายล้านบัญชี ได้
    • ผมคิดว่าไม่ควรอ่านแบบนั้น
      สิ่งสำคัญที่สุดในบรรดาสิ่งที่ผู้คนเข้าถึงได้คือ โปรไฟล์ DNA ดิบทั้งหมด และผู้เสียหายจำนวนมากถูกเปิดเผยข้อมูลเพราะคนที่ยินยอมใช้ฟีเจอร์ “Relatives” แม้ว่าบัญชีของตัวเองจะปลอดภัยก็ตาม
    • ขอถามอย่างหนึ่งได้ไหม:
      การยืนยันตัวตนแบบ 2 ขั้นตอนถูกปิดอยู่” ควรได้รับอนุญาตให้อยู่ร่วมกับ “ข้อมูลที่กว้างขวางและเป็นส่วนตัวมาก” หรือไม่
    • จริงที่ว่านี่ไม่ใช่การโจมตีที่ซับซ้อน
      สิ่งที่น่าผิดหวังคือการโจมตีนี้ ได้ผลดีในระดับใหญ่
      บางเว็บไซต์อาจถูกโจมตีแบบนี้ในวงกว้างได้ แต่ถ้าเลือกเมตริกที่เหมาะสมมาตรวจสอบและตั้งการแจ้งเตือน ฝั่งผู้รับจะเห็นสัญญาณแบบนี้ค่อนข้างดังชัด
      พวกเขาบอกว่า “ขณะนี้ยังไม่มีสัญญาณว่ามีเหตุการณ์ด้านความปลอดภัยของข้อมูลภายในระบบของเรา” แต่ถ้าระบบนั้นถูกใช้เพื่อดึงข้อมูลลูกค้า และเพิ่งรู้หลังจากข้อมูลลูกค้าถูกนำไปขายแล้ว ก็ต้องเริ่มปรับปรุงจากตรงนั้น
      จากการเปิดเผยที่ล่าช้าแบบนี้ ดูเหมือนเป็นไปได้ว่าเพิ่งรู้หลังจากได้รับคำถามจากสื่อ
    • เว็บไซต์ควรลดความเสี่ยงจาก credential stuffing ด้วยการตรวจเทียบกับรหัสผ่านที่รู้กันว่าถูกแคร็กแล้ว
      ดาวน์โหลดฐานข้อมูลรหัสผ่านแบบแฮชของ Troy Hunt มา แล้วตรวจตอนล็อกอิน หากเป็นรหัสผ่านที่รั่วไหลก็ส่งไปยังกระบวนการรีเซ็ตรหัสผ่านผ่านอีเมล
      หรือจะใช้ API ก็ได้
      ง่ายมาก และผมคิดว่ามันเป็นแนวปฏิบัติที่ดีที่ได้รับการยอมรับมาตั้งแต่ราวปี 2017
      เรื่องนี้เป็นความรับผิดชอบของ 23andMe 100%
      https://haveibeenpwned.com/Passwords
  • สงสัยว่าบริษัทต่าง ๆ จะเริ่มทบทวน “สิทธิ์แบบถ่ายทอด” หรือ “สิทธิ์แบบเครือข่าย” อย่างจริงจังหรือไม่
    คล้ายกับกรณีที่ Facebook เคยโดนหนักมาก
    ผมเคยมีสิทธิ์ดูข้อมูลทั้งหมดของเพื่อน ๆ และในอดีต แค่กดปุ่มเดียวก็สามารถทำให้ใครบางคนที่ร้องขอเห็นไม่ใช่แค่ข้อมูลของผม แต่รวมถึงข้อมูลของเพื่อน ๆ ผมด้วย
    จากมุมมองวิทยาการคอมพิวเตอร์มันก็สมเหตุสมผล: ถ้าผมเปิดให้คุณเห็นข้อมูลทั้งหมดของผม ผมก็ไม่สามารถควบคุมได้ว่าคุณจะเอาไปแชร์กับใครต่อ
    แต่จากมุมมองของคนทั่วไป คนส่วนใหญ่ไม่ได้คิดว่าการที่ผมให้สิทธิ์เข้าถึงแก่คุณ แท้จริงแล้วคือ การให้สิทธิ์เข้าถึงแก่ทั้งโลก
    สิทธิ์แบบเครือข่าย แบบนี้ทำให้บริษัทที่ถือข้อมูลดังกล่าวกลายเป็นเป้าหมายหลัก
    เพราะผู้โจมตีแฮ็กได้เพียงไม่กี่บัญชี ก็อาจได้ข้อมูลเพิ่มขึ้นแบบทวีคูณ

    • ไม่ใช่ข้อมูลทั้งหมดของเพื่อน แต่เป็นแค่ส่วนย่อยที่เพื่อนคนนั้นแชร์ไว้ไม่ใช่หรือ
      หมายถึงขอบเขตที่เจ้าของโพสต์ตั้งค่าให้เพื่อนของเพื่อนเห็นได้
  • ตามทวีตนี้ เป็นไปได้ว่าแฮ็กเกอร์ได้ข้อมูลทั้งหมดมา แต่ปล่อยออกมาเพียงบางส่วน คือ 1.3 ล้านระเบียน
    ว่ากันว่าส่วนนั้นเป็นข้อมูลของชาวยิวอัชเคนาซี
    https://x.com/mattjay/status/1710370423311888724?s=20

    • ถ้าเป็นอย่างนั้นก็อธิบายได้ว่าทำไมบัญชีที่ถูกเจาะจำนวนไม่มากถึงได้ข้อมูลจำนวนมากขนาดนั้น
      ชาวยิวอัชเคนาซี ค่อนข้างแยกตัวทางพันธุกรรมจากกลุ่มอื่น ๆ ในยุโรป และเริ่มจากกลุ่มผู้ก่อตั้งที่ค่อนข้างเล็ก
      ดังนั้นเมื่อดูตามตัวชี้วัดมาตรฐาน พวกเขาจึงถูกตรวจพบว่าเป็นญาติห่าง ๆ กันทางพันธุกรรม
      กล่าวคือ ลูกค้า 23andMe ที่เป็นชาวยิวอัชเคนาซีทั่วไปน่าจะเห็นรายชื่อญาติมากกว่าลูกค้าคนอื่นมาก และจึงดูโปรไฟล์ได้มากกว่าตามไปด้วย
    • ผมเป็นผู้ใช้ 23andMe และมีพันธุกรรมอัชเคนาซีค่อนข้างสูง เลยคาดว่าข้อมูลของผมน่าจะรั่วด้วย แต่กลับไม่มี
      ดังนั้นคงไม่น่าจะเป็นข้อมูลอัชเคนาซีทั้งหมด
    • ในทวีตนั้นไม่มีหลักฐานเลยว่านี่เป็นมากกว่าการใช้รหัสผ่านซ้ำ
      และก็ไม่มีหลักฐานด้วยว่าเป็นข้อมูลทั้งหมด
    • ต่อให้อยู่ไปร้อยปี ผมก็คงไม่เข้าใจว่าทำไมผู้คนถึง หมกมุ่นกับชาวยิว กันนัก
    • การก่อการร้ายของนีโอนาซีอีกแล้ว ทศวรรษ 2020 นี่ช่างดีจริง ๆ /s
  • ผมคิดว่าเป็นไอเดียที่น่าสนใจ แต่ก็เพราะเหตุผลแบบนี้แหละที่ผมปฏิเสธ การตรวจพันธุกรรม แบบนี้มาตลอด

    • ไม่ใช่แค่นั้น ต้องทำให้ญาติทั้งหมดไม่ไปตรวจด้วย
    • จำได้ว่ามีมุกใน Simpsons ที่ Homer รู้ว่ารัฐบาลมี DNA ของทุกคนเก็บไว้ในแฟ้มแล้วถามขึ้นมา คำตอบประมาณว่า “ทุกคนที่เคยแตะเพนนีหลังปี 1932”
      กลายเป็นว่าไม่จำเป็นต้องซับซ้อนขนาดนั้น แค่ให้ผู้คนส่งมาเองทางไปรษณีย์ก็พอ ;)
    • ผมก็เหมือนกัน และหวังว่าจะมีกฎระเบียบคุ้มครองข้อมูลนี้
      แต่ดูเหมือนว่าน้ำจะหกไปแล้ว
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • ใช้ชื่อปลอมก็ได้ไม่ใช่เหรอ
    • ผมก็เหมือนกัน
      คิดว่าต่อไปก็คงจะไม่ใช้บริการแบบนี้
  • พูดมาหลายครั้งแล้ว แต่เรื่องแบบนี้จะยังเกิดขึ้นต่อไปจนกว่าจะมี ความรับผิดทางอาญา สำหรับความประมาทในการเก็บรักษาและปกป้องข้อมูล
    บริษัททั้งหลายไม่สนใจหรอก และไม่ว่า PR จะพูดอย่างไร พวกเขาก็จะไม่สนใจจนกว่าตัวเองจะตกอยู่ในความเสี่ยงโดยตรง
    ทุกครั้งที่เกิดการละเมิด ก็จะทำเหมือน British Petroleum พูดซ้ำ ๆ ว่า “เราขอโทษจริง ๆ” แล้วซื้อ LifeLock ให้ผู้คน
    ไร้สาระสิ้นดี

    • ไม่เข้าใจว่าทำไม 23andMe ถึงควรต้องรับผิดทางอาญา
      ตามบทความ บริษัทไม่ได้ถูกเจาะ แต่เป็นบัญชีรายบุคคลที่ใช้ข้อมูลรับรองซ้ำซึ่งรั่วมาจากการละเมิดอื่นที่ถูกขโมยไป
      ควรมีการยืนยันตัวตนสองขั้นตอนก็จริง แต่ไม่คิดว่าควรทำให้ การไม่มีการยืนยันตัวตนสองขั้นตอน เป็นอาชญากรรม
  • ผมลองเข้าไปดูเว็บที่อยู่ในสกรีนช็อต เห็นมีคนขายสิ่งที่อ้างว่าเป็นเอกสาร NATO ที่รั่วไหลจากการเยือนฟิลิปปินส์ เช่น “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT ฯลฯ”
    ยังมีรายการฐานข้อมูลพลเมืองยูเครนปี 2023 อีกชุดหนึ่งด้วย
    CIA ได้โปรดอย่าฆ่าผมนะ! สาบานได้ว่าผมแค่บังเอิญเห็นเท่านั้น
    ยังไงก็ตาม ผมต้องกลับไปทำงานแล้ว

    • เว็บนั้นคือที่ไหน?
  • 75,000 ดอลลาร์เนี่ยนะ
    เป็นวิธีบอกให้เห็นโดยไม่ต้องพูดว่า รัฐบาล ไม่ได้ให้ความสำคัญกับความเป็นส่วนตัวอย่างจริงจัง
    เมื่อ 3 สัปดาห์ก่อน บริษัทตรวจพันธุกรรม 1Health.io ตกลงจ่าย ค่าปรับ 75,000 ดอลลาร์ ให้ FTC เพื่อยุติข้อกล่าวหาว่าไม่ได้ปกป้องข้อมูลพันธุกรรมและสุขภาพที่อ่อนไหวอย่างเหมาะสม แก้ไขนโยบายความเป็นส่วนตัวย้อนหลังโดยไม่แจ้งหรือขอความยินยอมจากลูกค้าที่ตนได้รับข้อมูลมา และหลอกลูกค้าว่าสามารถลบข้อมูลของตนเองได้

    • แค่เห็นข้อความหลงตัวเองบนแพ็กเกจว่า “welcome to you” ก็แทบจะอ้วกแล้ว แต่งานนี้โดนแค่ 75,000 ดอลลาร์เนี่ยนะ
      หวังว่าบริษัทจะล่มสลายไปเลย
    • ผลลัพธ์เลวร้ายแบบปีศาจที่ผู้คนมักยกขึ้นมาเมื่อข้อมูลแบบนี้รั่วไหล ยังไม่เห็นเกิดขึ้นจริง
      ไม่ได้มีงานวิจัยพันธุกรรมต้องห้ามเกิดขึ้น ไม่ได้มีเบี้ยประกันสูงขึ้น และไม่ได้มีการกวาดล้างชาติพันธุ์เพราะข้อมูลนี้
      อาจมีการขโมยตัวตนและการฉ้อโกงธนาคารอยู่บ้าง แต่โดยรวมระบบที่มีอยู่ก็รับมือได้
      ไปถูกจับได้ที่ปลายทางอีกด้านหนึ่ง
      ถ้าอยากได้ค่าปรับก้อนใหญ่ ก็ต้องพิสูจน์ให้ได้ว่ามี ความเสียหายร้ายแรง
    • เหมือนเดิม ทุนนิยมทำงานกลับหัวกลับหาง
      ถ้าให้ความสำคัญกับความเป็นส่วนตัวจริง ๆ ก็ควร ให้เงินสนับสนุน 75,000 ดอลลาร์ เพื่อแก้ปัญหา
      ถ้าดึง 75,000 ดอลลาร์ออกจากงบวิศวกรรม ก็จะยิ่งทำได้แย่ลง และข้อมูลจะรั่วมากขึ้น
  • ถ้าพูดถึงผลกระทบด้านความเป็นส่วนตัวของการส่ง DNA ไปซีเควนซ์ “เอาสนุก” 23andMe ก็ร่วมมือกับหน่วยงานบังคับใช้กฎหมายอยู่แล้ว
    วิทยาการข้อมูลก็ดีขึ้นพอแล้วด้วย ถึงแม้ผมจะไม่เคยส่งตัวอย่าง DNA เอง แต่ถ้า ญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 หนึ่งคน ส่งตัวอย่างไป ก็สามารถคาดเดาตัวตนของผมได้
    คนทั่วไปมีญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 ประมาณ 200 คน

    • ช่วยอธิบายเพิ่มได้ไหมว่ามันทำงานอย่างไร
      สมมติว่าหนึ่งในญาติชั้นลูกพี่ลูกน้องรุ่นที่ 2 ของผม 200 คนทำการตรวจแบบป้ายกระพุ้งแก้มกับ 23andMe แล้วต่อมาผมก่ออาชญากรรม อาจจะอยู่อีกฝั่งของประเทศ
      หน่วยงานบังคับใช้กฎหมายเก็บหลักฐาน DNA ได้
      แล้วเกิดอะไรขึ้นต่อ
    • หน่วยงานบังคับใช้กฎหมายสามารถใช้ DNA ที่เก็บมาไปสืบค้นใน ฐานข้อมูล 23andMe ได้หรือ
  • เท่าที่รู้ มีบริการลำดับวงศ์ตระกูลที่ทำแผนภูมิ Leeds-Collins ซึ่งทำงานโดยขอ ข้อมูลรับรอง 23andMe จากผู้ใช้
    คล้ายกับบริการธนาคารของบุคคลที่สามบางแห่งที่ขอข้อมูลรับรองธนาคารจากผู้ใช้โดยตรง
    ในวงการนี้มีแนวปฏิบัติด้านความปลอดภัยที่แย่มากจริง ๆ

    • ช่วงหนึ่งเคยมี OAuth2 API ของ 23andMe และให้ SNP เป็น OAuth scope ด้วย พอเป็นแบบนั้นเลยน่าเสียดายยิ่งกว่าเดิม
  • สงสัยว่า 23andMe อาจส่งรหัสผ่านของบัญชีพ่อที่ผมทำหายไปเมื่อหลายปีก่อน และตอนนี้ไม่มีที่อยู่อีเมลแล้ว ให้ได้ไหม

    • ลองค้นหาอีเมลได้ที่ https://haveibeenpwned.com/
      ถ้ามีอยู่ในนั้น ก็อาจมีรหัสผ่านด้วย