- เพียง 2 สัปดาห์หลังจากที่ข่าวข้อมูลผู้ใช้ 23andMe รั่วไหลถูกเปิดเผยครั้งแรก แฮ็กเกอร์รายเดิมก็เผยแพร่ชุดข้อมูลใหม่ขนาด 4 ล้านคน บน BreachForums
- แฮ็กเกอร์ที่ใช้ชื่อว่า Golem อ้างว่าชุดข้อมูลใหม่นี้มีผู้ใช้จาก Great Britain รวมอยู่ด้วย และยังมีข้อมูลของ “คนที่ร่ำรวยที่สุดซึ่งอาศัยอยู่ในสหรัฐฯ และยุโรปตะวันตก”
- TechCrunch ยืนยันว่าข้อมูลที่รั่วไหลใหม่บางส่วนตรงกับ ข้อมูลผู้ใช้และข้อมูลพันธุกรรมของ 23andMe ที่ถูกเปิดเผย
- หลังรับทราบการรั่วไหลครั้งใหม่นี้ 23andMe กำลังตรวจสอบ ความแท้จริง ของข้อมูล และก่อนหน้านี้ได้แจ้งให้ผู้ใช้เปลี่ยนรหัสผ่านและเปิดใช้การยืนยันตัวตนหลายปัจจัย
- วิธีการบุกรุกจริง ขนาดการรั่วไหลทั้งหมด และวัตถุประสงค์ในการใช้ข้อมูลที่ถูกขโมยยังไม่ได้รับการยืนยัน ทำให้ผู้ใช้ 23andMe ยังมีความเสี่ยงเพิ่มเติมอยู่
ข้อมูลเพิ่มเติมที่ถูกเผยแพร่บน BreachForums
- แฮ็กเกอร์ชื่อ Golem เผยแพร่ชุดข้อมูลใหม่บนฟอรัมอาชญากรรมไซเบอร์ BreachForums ซึ่งมีข้อมูลผู้ใช้ 23andMe จำนวน 4 ล้านรายการ
- แฮ็กเกอร์รายนี้เป็นคนเดียวกับที่ปล่อยชุดข้อมูลผู้ใช้ที่ขโมยมาจากบริษัทตรวจพันธุกรรม 23andMe เมื่อ 2 สัปดาห์ก่อน
- TechCrunch ยืนยันว่าข้อมูลที่รั่วไหลใหม่บางส่วนตรงกับข้อมูลผู้ใช้และข้อมูลพันธุกรรมของ 23andMe ที่ถูกเปิดเผย
- Golem อ้างว่าชุดข้อมูลดังกล่าวมีข้อมูลของผู้คนจาก Great Britain
- และอ้างว่ารายการดังกล่าวยังมีข้อมูลของ “คนที่ร่ำรวยที่สุดซึ่งอาศัยอยู่ในสหรัฐฯ และยุโรปตะวันตก” รวมอยู่ด้วย
- Andy Kill โฆษกของ 23andMe ระบุว่าบริษัทรับทราบการรั่วไหลครั้งใหม่นี้แล้ว และกำลังตรวจสอบว่าข้อมูลดังกล่าวเป็นข้อมูลจริงของ 23andMe หรือไม่
คำอธิบายเหตุการณ์และมาตรการความปลอดภัยบัญชีของ 23andMe
- เมื่อวันที่ 6 ตุลาคม 23andMe ประกาศ ว่าแฮ็กเกอร์ได้ข้อมูลของผู้ใช้บางส่วนไป และอธิบายว่าแฮ็กเกอร์ใช้ credential stuffing
- credential stuffing คือเทคนิคที่นำคู่ชื่อผู้ใช้หรืออีเมลกับรหัสผ่านที่เคยหลุดจากเหตุข้อมูลรั่วไหลอื่นมาก่อนมาลองใช้งาน
- เพื่อรับมือกับเหตุการณ์นี้ 23andMe กำหนดให้ผู้ใช้ เปลี่ยนรหัสผ่าน และแนะนำให้เปิดใช้การยืนยันตัวตนหลายปัจจัย
- ตามหน้าอย่างเป็นทางการสำหรับการตอบสนองต่อเหตุการณ์ 23andMe ได้เริ่มการสอบสวนโดยได้รับความช่วยเหลือจาก “ผู้เชี่ยวชาญนิติวิทยาศาสตร์ดิจิทัลจากบุคคลที่สาม”
- บริษัทชี้ว่าการ ใช้รหัสผ่านซ้ำ ของลูกค้า และฟีเจอร์เสริมอย่าง DNA Relatives เป็นสาเหตุของเหตุการณ์
- DNA Relatives เป็นฟีเจอร์ที่ทำให้สามารถดูข้อมูลของผู้ใช้รายอื่นที่สมัครเข้าร่วมและมีข้อมูลพันธุกรรมตรงกันได้
- หากเปิดใช้ฟีเจอร์นี้ แฮ็กเกอร์อาจเจาะบัญชีเดียวแล้วสแครปข้อมูลของผู้ใช้หลายรายได้
คำถามที่ยังไม่มีคำตอบ
- ยังไม่ชัดเจนว่าแฮ็กเกอร์ใช้ credential stuffing จริงหรือใช้เทคนิคอื่น
- ปริมาณรวมของข้อมูลผู้ใช้ที่ถูกขโมยยังไม่เป็นที่ทราบ
- ยังไม่ยืนยันว่าแฮ็กเกอร์ต้องการนำข้อมูลไปใช้อย่างไร
- เหตุการณ์นี้อาจเกิดขึ้นหรืออย่างน้อยก็เริ่มต้นขึ้นตั้งแต่หลายเดือนก่อน
- เมื่อวันที่ 11 สิงหาคม บนฟอรัมอาชญากรรมไซเบอร์อีกแห่งชื่อ Hydra มีแฮ็กเกอร์รายหนึ่งโฆษณาชุดข้อมูลผู้ใช้ 23andMe
- จากการวิเคราะห์ของ TechCrunch ชุดข้อมูลนั้นตรงกับบางส่วนของบันทึกผู้ใช้ที่รั่วไหลเมื่อ 2 สัปดาห์ก่อน
- แฮ็กเกอร์บน Hydra อ้างว่าตนมีข้อมูลผู้ใช้ 23andMe ขนาด 300TB แต่ไม่ได้แสดงหลักฐาน
- จนถึงขณะนี้ ขอบเขตทั้งหมดของการรั่วไหลของข้อมูลยังไม่ชัดเจน และดูเหมือนว่า 23andMe เองก็ยังไม่สามารถระบุได้ว่ามีข้อมูลถูกขโมยไปมากเท่าใด
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
การที่ 23andMe โทษ การใช้รหัสผ่านซ้ำ ของลูกค้า และฟีเจอร์แบบเลือกเข้าร่วมที่ชื่อ DNA Relatives ซึ่งทำให้ดูข้อมูลของผู้เข้าร่วมรายอื่นที่ตรงกันทางพันธุกรรมได้นั้น เป็นการพูดที่เบี่ยงประเด็นหลัก
ตัวเลือกการแชร์ของ DNA Relatives ขาดความละเอียด และโดยพื้นฐานมีให้แค่ประมาณสองระดับ ซึ่งยังไม่เพียงพอ
นอกจากนี้ 23andMe จำกัดให้เห็นเฉพาะคนที่ใกล้ชิดที่สุดได้สูงสุด 1,500 คนในบรรดาผู้ที่เข้าร่วม DNA Relatives แต่ด้วยโครงสร้างแบบนี้ แฮกเกอร์แค่ยึดบัญชีได้ไม่กี่พันบัญชีก็น่าจะรวบรวมข้อมูล haplogroup, การคาดการณ์ต้นกำเนิดทางชาติพันธุ์, ชื่อ, โปรไฟล์, รายชื่อญาติ และข้อมูลต้นกำเนิดทางภูมิศาสตร์ จากฐานข้อมูลส่วนใหญ่ได้แล้ว
ขีดจำกัด 1,500 คนนี้ในทางทฤษฎีช่วยได้ แต่ช่วงหนึ่งเมื่อไม่นานมานี้ยังสามารถดูโปรไฟล์ที่เกินขอบเขตนั้นได้ด้วย และยังไม่แน่ชัดว่านั่นเป็นส่วนหนึ่งของวิธีที่ถูกนำไปใช้โจมตีหรือไม่
ถ้าต้องถอนตัวออกถึงจะได้ ความเป็นส่วนตัวอย่างสมบูรณ์ แล้วนี่เป็นฟีเจอร์แบบเลือกเข้าร่วมได้อย่างไร ผมไม่เข้าใจ
อีกอย่างก็ไม่ชัดเจนว่าความเป็นส่วนตัวอย่างสมบูรณ์ในที่นี้หมายถึงอะไร และต่างจากความเป็นส่วนตัวที่คาดหวังได้อย่างสมเหตุสมผลอย่างไร
ผมมองว่าคำกล่าวของบริษัทที่ว่าฟีเจอร์นี้เป็นแบบเลือกเข้าร่วมนั้นฟังไม่ขึ้น
ถ้าผู้ใช้ใช้รหัสผ่านซ้ำ นั่นอาจเป็นสาเหตุที่บัญชีเดียวถูกเจาะได้ แต่ในฐานะบริษัท พวกเขาน่าจะลดผลกระทบไม่ให้บานปลายได้อย่างง่ายดาย
แค่มีชุดบัญชีที่ถูกแฮกก็ไม่ควรจะสามารถกวาดข้อมูลของคนหลายล้านคนไปได้
อยากรู้เหมือนกันว่า CEO ของ 23andMe จะถูกลากไปขึ้นสภาคองเกรสตลอด 10 ปีข้างหน้าหรือเปล่า
การใช้ 23andMe เป็นหนึ่งในสิ่งที่เสียใจที่สุดในชีวิต ก่อนที่ผมจะใส่ใจเรื่องความเป็นส่วนตัว เห็นมันลดราคาใน Amazon ก็เลยทำไป
ต่อให้ขอลบ ผมก็ไม่มีความเชื่อมั่นเลยว่าพวกเขาจะลบข้อมูลของผมจริง ๆ และถึงแม้จะลบ ก็ไม่รู้ว่าข้อมูลนั้นเข้าไปอยู่ในโมเดลหรือการวิจัยบางอย่างแล้วและยังคงมีชีวิตอยู่ที่ไหนสักแห่งหรือเปล่า
ส่วนหนึ่งของผมก็ไม่อยากรู้ด้วยว่าข้อมูลของผมอยู่ในการรั่วไหลครั้งนี้ไหม เรื่องนี้ให้ความรู้สึกต่างจากการรั่วไหลของข้อมูลบัตรเครดิตหรือข้อมูลการซื้อของ
ที่แย่กว่านั้นคือผมไม่ได้เข้า 23andMe มานานแล้ว และมีความเป็นไปได้สูงว่าน่าจะเป็นช่วงก่อนที่ผมจะใส่ใจ ความปลอดภัยของรหัสผ่าน อย่างจริงจัง จึงไม่น่าแปลกใจนัก
Facebook กับ Google มีภาพที่แม่นยำกว่ามากสำหรับใช้ชักจูงผู้คน ส่วน 23andMe ก็เป็นได้แค่มากกว่าของเล่นสนองความอยากรู้อยากเห็นนิดหน่อย
ข้อมูลของผมก็คงอยู่ในการรั่วไหลครั้งนี้ด้วย แต่ผมจะไม่เสียเวลาแม้แต่วินาทีเดียวของชีวิตไปนั่งเสียใจกับมัน
รอดูดีกว่าว่าจะได้อะไรจากคดีแบบกลุ่มไหม ถ้าได้รับเช็คจำนวนเล็กจนน่าสมเพชทางไปรษณีย์เหมือนตอน Experian ถูกแฮก อย่างน้อยก็ยังมีของสักชิ้นให้วางบนโต๊ะกาแฟได้
อย่างไรก็ดี ผมลงทะเบียนด้วย นามแฝง มอบชุดตรวจให้พ่อ และให้น้าผู้หญิงคนหนึ่งตรวจด้วย
มันไม่ได้แม่นยำ แต่ก็พอเติมเต็มความอยากรู้ได้
สุดท้ายแล้วทุกอย่างก็จะถูกแฮกเข้าสักวัน อย่างที่แฮกเกอร์คนดังคนหนึ่งเคยพูดไว้ ควรถือว่าสิ่งที่พูดหรือเขียนทั้งหมดจะกลายเป็นข้อมูลสาธารณะในสักวัน
เพิ่มเติมคือ อาจมีคนบอกว่า “ทำกับพ่อแบบนั้นได้อย่างไร” แต่ถ้ารู้จักท่านก็จะเข้าใจ ท่านใช้ชีวิตแทบจะนอกระบบและกำลังจะจากไปในไม่ช้า ส่วนน้าผู้หญิงของผมเสียชีวิตไปแล้ว
ผมเป็นหนึ่งในเหยื่อของการรั่วไหลครั้งนี้ เป็นคนที่เข้าใจเทคโนโลยีและรู้เรื่องความปลอดภัยดี ใช้รหัสผ่านที่ไม่ซ้ำและปลอดภัยในทุกที่
บริษัทนี้กับการโยนความรับผิดชอบแบบไร้สาระของพวกเขาน่าขยะแขยงจริง ๆ
นี่แทบไม่ต่างจาก การ doxxing ระดับองค์กร เลย เรื่องแบบนี้จะเกิดซ้ำไปเรื่อย ๆ จนกว่าผู้บริหารรายบุคคลในบริษัทยักษ์ใหญ่ที่ถ่มน้ำลายใส่หน้าผู้ใช้แบบนี้จะต้องรับผิดชอบเป็นการส่วนตัว
เพราะก่อนถึงตอนนั้น พวกเขาไม่มีหน้าที่ต้องใส่ใจอย่างจริงจัง เราเป็นแค่วัตถุดิบที่ป้อนเข้าเครื่องจักรทำเงินเท่านั้น
สิ่งที่ทำให้โกรธมากกว่าการรั่วไหลเองคือ การไม่มีความรับผิดชอบ
ผมตกใจกับบรรยากาศในคอมเมนต์ที่โทษเหยื่อ
ต่อให้สมมติว่ามี match คนละ 1,500 คนและไม่มีญาติซ้ำกันเลย กว่าจะไปถึงขนาดข้อมูลที่รั่วคือราว 14 ล้านคน ก็ต้องมีบัญชีที่ถูกแฮ็กสำเร็จประมาณ 10,000 บัญชี
ในความเป็นจริงมีคนจำนวนมากที่มีญาติซ้ำกัน ดังนั้นต้องมีบัญชีถูกโจมตีมากกว่า 10,000 บัญชีมาก และระหว่างนั้น 23andMe จะต้องไม่สังเกตเห็นสิ่งน่าสงสัยใด ๆ เลย ซึ่งไม่น่าเป็นไปได้มาก
23andMe อ้างว่าสาเหตุหลักของการรั่วไหลนี้คือ credential stuffing แต่แฮ็กเกอร์ที่โพสต์ครั้งแรกบน Hydra Market เมื่อ 2 เดือนก่อนอ้างว่าพวกเขาแค่ใช้หรือใช้ในทางที่ผิดกับ API ที่ 23andMe ให้แก่พันธมิตรด้านวิชาการและงานวิจัย
แฮ็กเกอร์อ้างว่ามีข้อมูล 300TB รวมถึงข้อมูลดิบ แต่ยังไม่ได้แสดงหลักฐานว่าขอบเขตการโจมตีใหญ่ขนาดนั้นจริง อย่างไรก็ตาม ถ้าคำกล่าวอ้างนั้นเป็นจริง การละเมิดนี้สอดคล้องกับคำอ้างเรื่องการใช้ API มากกว่า credential stuffing
ดังนั้นถ้าขนาดที่ผู้โจมตีพูดถูกต้อง ก็มีความเป็นไปได้สูงกว่ามากว่าพวกเขาขูดข้อมูลทั้งหมดผ่าน API ตัวใดตัวหนึ่งของ 23andMe แทนที่จะเป็น credential stuffing อาจมีนักวิจัยคู่ค้ารายหนึ่งถูกแฮ็ก หรืออาจเคยมีหรือยังมีช่องโหว่ด้านการควบคุมการเข้าถึง API ที่ทำให้ผู้โจมตีขูดข้อมูลทั้งหมดซ้ำได้
มีข้อมูลเกี่ยวกับ API ที่ 23andMe ให้บริการไม่มากนัก แต่ผมเจออันหนึ่งบน RapidAPI (https://rapidapi.com/23andme/api/23andme) และถ้ามีช่องโหว่ด้านการควบคุมการเข้าถึงหรือมีการแฮ็กผู้ใช้เพื่อยกระดับสิทธิ์ ก็อาจใช้บุคคลเพียงคนเดียวเป็นจุดเริ่มต้น ดาวน์โหลดข้อมูลจากหลาย endpoint แล้วไล่ตามญาติทั้งหมดแบบ recursive ผ่าน endpoint ญาติ เพื่อดาวน์โหลดข้อมูลของทุกคนทีละครั้งได้ ยังมี endpoint สำหรับจีโนมทั้งชุดของบุคคลด้วย
ตอนนี้ผมสงสัยแนวป้องกันตัวของ 23andMe อย่างมาก แต่ก่อนที่ผู้โจมตีจะเผยแพร่หลักฐานว่ามีข้อมูลดิบ ก็ยากจะพิสูจน์ได้ว่าบริษัทผิดหรือโกหกเกี่ยวกับขนาดการโจมตีจริง ถึงอย่างนั้น คำกล่าวอ้างว่าใช้ API ก็ฟังมีเหตุผลกว่าวิธีที่ 23andMe เสนอมาก จึงน่ากังวลมาก
แน่นอนว่าถ้าพวกเขาต้องการจริง ๆ ก็ยังตามรอยผมได้จากญาติที่ใช้แพลตฟอร์มนี้
เห็นว่า “23andMe โทษการใช้รหัสผ่านซ้ำของลูกค้า” ไม่ว่าจะใช้ถ้อยคำอย่างไร นี่เป็นข้อบกพร่องของบริษัท ไม่ใช่ของลูกค้า
ลูกค้าใช้รหัสผ่านซ้ำ และต่อไปก็จะยังทำแบบนั้น ถ้าเป็น ข้อมูลระบุตัวบุคคล ที่อ่อนไหว การบังคับใช้ 2FA หรือ Google SSO ง่ายกว่าการพยายามเปลี่ยนพฤติกรรมลูกค้ามาก
เป็นวิธีใช้แอปยืนยันตัวตนที่ปลอดภัยกว่า SMS แต่ยุ่งยากกว่าในการทำให้ผู้ใช้ยอมรับ จึงอาจกระทบอัตราการใช้งาน
ถ้าข้อมูลลูกค้า 300TB รั่วไหลโดยที่ 23andMe ไม่รู้ตัว ก็ดูเหมือนเป็นความประมาท ไม่น่าจะมีสัญญาณเตือนบ้างหรือ
ถึงอย่างนั้น 23andMe ก็ควรมีการตรวจจับหรือการควบคุมที่ระบุภูมิศาสตร์ใหม่ของปลายทางในพื้นที่เก็บข้อมูลลูกค้า เพราะไม่น่าจะปลอมปลายทางของลูกค้าแต่ละรายได้
หรือแม้แต่ตอนเข้าถึงข้อมูลด้วยบัญชีระดับแอดมิน ก็ควรมีกระบวนการอนุมัติที่มี audit trail และขั้นตอนอนุมัติ
น่าทึ่งที่พยายามโทษลูกค้าที่จ่ายเงินเพื่อปกปิดความล้มเหลวด้านความปลอดภัยของระบบตัวเอง
คุณควบคุมผู้ใช้ไม่ได้ แต่ควบคุม security posture ได้ ท่าทีและวิจารณญาณของผู้บริหาร 23andMe แย่มาก
สินค้าของ 23andMe คือ DNA ของผู้ใช้ เพียงแต่ถูกห่ออย่างสวยงามในรูปแบบที่ย่อยง่ายเท่านั้น
ถ้าพวกเขาตรวจไม่พบว่ามีบันทึกหลายล้านรายการถูกขโมยผ่าน credential stuffing นั่นก็ไม่ได้เป็นข้อแก้ตัวที่ดีกว่าสำหรับบริษัทเช่นกัน
ผมคงตายก่อนจะได้เห็นบริษัทรับผิดชอบต่อการกระทำของตัวเอง เลยไม่แปลกใจนัก
23andMe ออกมาตอนผมอยู่มัธยมปลาย และครูวิทยาศาสตร์คนหนึ่งใช้คาบเรียนทั้งคาบอธิบายว่าทำไมถึงไม่ควรใช้บริการนั้นเด็ดขาด
พูดตามตรง นั่นเป็นคาบเรียนที่มีค่าที่สุดเท่าที่ผมเคยฟังมา และทำให้ผมไม่เคยคิดจะเข้าไปใกล้มันเลย
ผมคิดว่า data privacy ควรถูกใส่ไว้ในวิชาสุขศึกษาภาคบังคับของโรงเรียนอะไรทำนองนั้น แต่หลักสูตรที่กำหนดคงถูกล็อบบี้จนพัง และคงไม่สอนเนื้อหาที่มีคุณค่าจริง ๆ
อะไรใน DNA ที่เป็นเรื่องส่วนตัว
บทความล่าสุดที่เกี่ยวข้อง:
23andMe ถูกฟ้องจากเหตุแฮ็กข้อมูลพันธุกรรมที่กระทบผู้คนหลายพันราย - https://news.ycombinator.com/item?id=37895586 - ตุลาคม 2023, ความคิดเห็น 20 รายการ
ใครแฮ็ก 23andMe เพื่อเอา DNA ของเรา — และทำไม? - https://news.ycombinator.com/item?id=37886543 - ตุลาคม 2023, ความคิดเห็น 3 รายการ
บัญชี 23andMe ถูกยึดและข้อมูลถูกประกาศขายบนฟอรัมแฮ็กเกอร์ - https://news.ycombinator.com/item?id=37810755 - ตุลาคม 2023, ความคิดเห็น 2 รายการ
“ประเภทของข้อมูลที่บริษัทตรวจพันธุกรรมเก็บรวบรวมไม่ได้รับการคุ้มครองภายใต้ HIPAA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลสุขภาพของสหรัฐฯ ในปัจจุบัน”
ดูเหมือนล็อบบี้ยิสต์ของอุตสาหกรรมตรวจพันธุกรรมจะทำงานได้ดีทีเดียว
แต่ข้อมูลที่เปิดเผยออกมาจากการวิเคราะห์ DNA เช่น การมีหรือไม่มีโรคทางพันธุกรรม ควรเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง
มันแปลกที่แค่มีการประมวลผลเส้นผมเส้นหนึ่ง ก็สามารถเปลี่ยนสถานะจาก “ไม่ใช่ข้อมูลสุขภาพที่ได้รับการคุ้มครอง” เป็น “ตอนนี้เป็นข้อมูลสุขภาพที่ได้รับการคุ้มครองแล้ว” ได้
คำถามว่า “ตั้งแต่จุดใดจึงกลายเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง” น่าจะเป็นคำถามที่ตอบยาก
โดยส่วนตัวคิดว่าการคุ้มครองข้อมูลเกี่ยวกับ DNA จำเป็นต้องมีกรอบแยกต่างหากจาก HIPAA