1 คะแนน โดย GN⁺ 2023-10-19 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • เพียง 2 สัปดาห์หลังจากที่ข่าวข้อมูลผู้ใช้ 23andMe รั่วไหลถูกเปิดเผยครั้งแรก แฮ็กเกอร์รายเดิมก็เผยแพร่ชุดข้อมูลใหม่ขนาด 4 ล้านคน บน BreachForums
  • แฮ็กเกอร์ที่ใช้ชื่อว่า Golem อ้างว่าชุดข้อมูลใหม่นี้มีผู้ใช้จาก Great Britain รวมอยู่ด้วย และยังมีข้อมูลของ “คนที่ร่ำรวยที่สุดซึ่งอาศัยอยู่ในสหรัฐฯ และยุโรปตะวันตก”
  • TechCrunch ยืนยันว่าข้อมูลที่รั่วไหลใหม่บางส่วนตรงกับ ข้อมูลผู้ใช้และข้อมูลพันธุกรรมของ 23andMe ที่ถูกเปิดเผย
  • หลังรับทราบการรั่วไหลครั้งใหม่นี้ 23andMe กำลังตรวจสอบ ความแท้จริง ของข้อมูล และก่อนหน้านี้ได้แจ้งให้ผู้ใช้เปลี่ยนรหัสผ่านและเปิดใช้การยืนยันตัวตนหลายปัจจัย
  • วิธีการบุกรุกจริง ขนาดการรั่วไหลทั้งหมด และวัตถุประสงค์ในการใช้ข้อมูลที่ถูกขโมยยังไม่ได้รับการยืนยัน ทำให้ผู้ใช้ 23andMe ยังมีความเสี่ยงเพิ่มเติมอยู่

ข้อมูลเพิ่มเติมที่ถูกเผยแพร่บน BreachForums

  • แฮ็กเกอร์ชื่อ Golem เผยแพร่ชุดข้อมูลใหม่บนฟอรัมอาชญากรรมไซเบอร์ BreachForums ซึ่งมีข้อมูลผู้ใช้ 23andMe จำนวน 4 ล้านรายการ
  • แฮ็กเกอร์รายนี้เป็นคนเดียวกับที่ปล่อยชุดข้อมูลผู้ใช้ที่ขโมยมาจากบริษัทตรวจพันธุกรรม 23andMe เมื่อ 2 สัปดาห์ก่อน
  • TechCrunch ยืนยันว่าข้อมูลที่รั่วไหลใหม่บางส่วนตรงกับข้อมูลผู้ใช้และข้อมูลพันธุกรรมของ 23andMe ที่ถูกเปิดเผย
  • Golem อ้างว่าชุดข้อมูลดังกล่าวมีข้อมูลของผู้คนจาก Great Britain
    • และอ้างว่ารายการดังกล่าวยังมีข้อมูลของ “คนที่ร่ำรวยที่สุดซึ่งอาศัยอยู่ในสหรัฐฯ และยุโรปตะวันตก” รวมอยู่ด้วย
  • Andy Kill โฆษกของ 23andMe ระบุว่าบริษัทรับทราบการรั่วไหลครั้งใหม่นี้แล้ว และกำลังตรวจสอบว่าข้อมูลดังกล่าวเป็นข้อมูลจริงของ 23andMe หรือไม่

คำอธิบายเหตุการณ์และมาตรการความปลอดภัยบัญชีของ 23andMe

  • เมื่อวันที่ 6 ตุลาคม 23andMe ประกาศ ว่าแฮ็กเกอร์ได้ข้อมูลของผู้ใช้บางส่วนไป และอธิบายว่าแฮ็กเกอร์ใช้ credential stuffing
    • credential stuffing คือเทคนิคที่นำคู่ชื่อผู้ใช้หรืออีเมลกับรหัสผ่านที่เคยหลุดจากเหตุข้อมูลรั่วไหลอื่นมาก่อนมาลองใช้งาน
  • เพื่อรับมือกับเหตุการณ์นี้ 23andMe กำหนดให้ผู้ใช้ เปลี่ยนรหัสผ่าน และแนะนำให้เปิดใช้การยืนยันตัวตนหลายปัจจัย
  • ตามหน้าอย่างเป็นทางการสำหรับการตอบสนองต่อเหตุการณ์ 23andMe ได้เริ่มการสอบสวนโดยได้รับความช่วยเหลือจาก “ผู้เชี่ยวชาญนิติวิทยาศาสตร์ดิจิทัลจากบุคคลที่สาม”
  • บริษัทชี้ว่าการ ใช้รหัสผ่านซ้ำ ของลูกค้า และฟีเจอร์เสริมอย่าง DNA Relatives เป็นสาเหตุของเหตุการณ์
    • DNA Relatives เป็นฟีเจอร์ที่ทำให้สามารถดูข้อมูลของผู้ใช้รายอื่นที่สมัครเข้าร่วมและมีข้อมูลพันธุกรรมตรงกันได้
    • หากเปิดใช้ฟีเจอร์นี้ แฮ็กเกอร์อาจเจาะบัญชีเดียวแล้วสแครปข้อมูลของผู้ใช้หลายรายได้

คำถามที่ยังไม่มีคำตอบ

  • ยังไม่ชัดเจนว่าแฮ็กเกอร์ใช้ credential stuffing จริงหรือใช้เทคนิคอื่น
  • ปริมาณรวมของข้อมูลผู้ใช้ที่ถูกขโมยยังไม่เป็นที่ทราบ
  • ยังไม่ยืนยันว่าแฮ็กเกอร์ต้องการนำข้อมูลไปใช้อย่างไร
  • เหตุการณ์นี้อาจเกิดขึ้นหรืออย่างน้อยก็เริ่มต้นขึ้นตั้งแต่หลายเดือนก่อน
    • เมื่อวันที่ 11 สิงหาคม บนฟอรัมอาชญากรรมไซเบอร์อีกแห่งชื่อ Hydra มีแฮ็กเกอร์รายหนึ่งโฆษณาชุดข้อมูลผู้ใช้ 23andMe
    • จากการวิเคราะห์ของ TechCrunch ชุดข้อมูลนั้นตรงกับบางส่วนของบันทึกผู้ใช้ที่รั่วไหลเมื่อ 2 สัปดาห์ก่อน
    • แฮ็กเกอร์บน Hydra อ้างว่าตนมีข้อมูลผู้ใช้ 23andMe ขนาด 300TB แต่ไม่ได้แสดงหลักฐาน
  • จนถึงขณะนี้ ขอบเขตทั้งหมดของการรั่วไหลของข้อมูลยังไม่ชัดเจน และดูเหมือนว่า 23andMe เองก็ยังไม่สามารถระบุได้ว่ามีข้อมูลถูกขโมยไปมากเท่าใด

1 ความคิดเห็น

 
GN⁺ 2023-10-19
ความคิดเห็นบน Hacker News
  • การที่ 23andMe โทษ การใช้รหัสผ่านซ้ำ ของลูกค้า และฟีเจอร์แบบเลือกเข้าร่วมที่ชื่อ DNA Relatives ซึ่งทำให้ดูข้อมูลของผู้เข้าร่วมรายอื่นที่ตรงกันทางพันธุกรรมได้นั้น เป็นการพูดที่เบี่ยงประเด็นหลัก
    ตัวเลือกการแชร์ของ DNA Relatives ขาดความละเอียด และโดยพื้นฐานมีให้แค่ประมาณสองระดับ ซึ่งยังไม่เพียงพอ
    นอกจากนี้ 23andMe จำกัดให้เห็นเฉพาะคนที่ใกล้ชิดที่สุดได้สูงสุด 1,500 คนในบรรดาผู้ที่เข้าร่วม DNA Relatives แต่ด้วยโครงสร้างแบบนี้ แฮกเกอร์แค่ยึดบัญชีได้ไม่กี่พันบัญชีก็น่าจะรวบรวมข้อมูล haplogroup, การคาดการณ์ต้นกำเนิดทางชาติพันธุ์, ชื่อ, โปรไฟล์, รายชื่อญาติ และข้อมูลต้นกำเนิดทางภูมิศาสตร์ จากฐานข้อมูลส่วนใหญ่ได้แล้ว
    ขีดจำกัด 1,500 คนนี้ในทางทฤษฎีช่วยได้ แต่ช่วงหนึ่งเมื่อไม่นานมานี้ยังสามารถดูโปรไฟล์ที่เกินขอบเขตนั้นได้ด้วย และยังไม่แน่ชัดว่านั่นเป็นส่วนหนึ่งของวิธีที่ถูกนำไปใช้โจมตีหรือไม่

    • หน้า “DNA Relatives” ของ 23andMe ระบุไว้แบบนี้: “หากคุณเลือกเข้าร่วมฟีเจอร์ DNA Relatives จะมีตัวเลือกความเป็นส่วนตัวหลายแบบที่ปรับตามความต้องการส่วนบุคคลของคุณได้ หากต้องการความเป็นส่วนตัวอย่างสมบูรณ์ คุณสามารถถอนตัวออกจาก DNA Relatives ได้ทั้งหมด”
      ถ้าต้องถอนตัวออกถึงจะได้ ความเป็นส่วนตัวอย่างสมบูรณ์ แล้วนี่เป็นฟีเจอร์แบบเลือกเข้าร่วมได้อย่างไร ผมไม่เข้าใจ
      อีกอย่างก็ไม่ชัดเจนว่าความเป็นส่วนตัวอย่างสมบูรณ์ในที่นี้หมายถึงอะไร และต่างจากความเป็นส่วนตัวที่คาดหวังได้อย่างสมเหตุสมผลอย่างไร
      ผมมองว่าคำกล่าวของบริษัทที่ว่าฟีเจอร์นี้เป็นแบบเลือกเข้าร่วมนั้นฟังไม่ขึ้น
    • เป็นบริษัทที่แย่มากจริง ๆ ความรับผิดชอบในการปกป้องข้อมูลที่เก็บไว้ไม่ได้อยู่ที่ผู้ใช้ แต่อยู่ที่ บริษัททั้งหมด
      ถ้าผู้ใช้ใช้รหัสผ่านซ้ำ นั่นอาจเป็นสาเหตุที่บัญชีเดียวถูกเจาะได้ แต่ในฐานะบริษัท พวกเขาน่าจะลดผลกระทบไม่ให้บานปลายได้อย่างง่ายดาย
    • ไม่เข้าใจว่าทำไมบริษัทจำนวนมากกว่านี้ถึงไม่ทำ การจำกัดจำนวนคำขอ และการตรวจจับการใช้งานในทางที่ผิดอย่างสมเหตุสมผล
      แค่มีชุดบัญชีที่ถูกแฮกก็ไม่ควรจะสามารถกวาดข้อมูลของคนหลายล้านคนไปได้
    • ข้อ 2 ดูคล้ายมากกับวิธีที่ Cambridge Analytica ดูดข้อมูล Facebook ออกไปเป็นจำนวนมาก
      อยากรู้เหมือนกันว่า CEO ของ 23andMe จะถูกลากไปขึ้นสภาคองเกรสตลอด 10 ปีข้างหน้าหรือเปล่า
    • สุดท้ายมันก็เป็นแค่โซเชียลเน็ตเวิร์กที่อิง DNA เท่านั้นเอง
  • การใช้ 23andMe เป็นหนึ่งในสิ่งที่เสียใจที่สุดในชีวิต ก่อนที่ผมจะใส่ใจเรื่องความเป็นส่วนตัว เห็นมันลดราคาใน Amazon ก็เลยทำไป
    ต่อให้ขอลบ ผมก็ไม่มีความเชื่อมั่นเลยว่าพวกเขาจะลบข้อมูลของผมจริง ๆ และถึงแม้จะลบ ก็ไม่รู้ว่าข้อมูลนั้นเข้าไปอยู่ในโมเดลหรือการวิจัยบางอย่างแล้วและยังคงมีชีวิตอยู่ที่ไหนสักแห่งหรือเปล่า
    ส่วนหนึ่งของผมก็ไม่อยากรู้ด้วยว่าข้อมูลของผมอยู่ในการรั่วไหลครั้งนี้ไหม เรื่องนี้ให้ความรู้สึกต่างจากการรั่วไหลของข้อมูลบัตรเครดิตหรือข้อมูลการซื้อของ
    ที่แย่กว่านั้นคือผมไม่ได้เข้า 23andMe มานานแล้ว และมีความเป็นไปได้สูงว่าน่าจะเป็นช่วงก่อนที่ผมจะใส่ใจ ความปลอดภัยของรหัสผ่าน อย่างจริงจัง จึงไม่น่าแปลกใจนัก

    • อาจไม่ได้สำคัญมากก็ได้ โมเดลจับคู่ทางพันธุกรรมยังดิบมาก จึงไม่ได้มีคุณค่ามากมายในข้อมูลนั้น
      Facebook กับ Google มีภาพที่แม่นยำกว่ามากสำหรับใช้ชักจูงผู้คน ส่วน 23andMe ก็เป็นได้แค่มากกว่าของเล่นสนองความอยากรู้อยากเห็นนิดหน่อย
      ข้อมูลของผมก็คงอยู่ในการรั่วไหลครั้งนี้ด้วย แต่ผมจะไม่เสียเวลาแม้แต่วินาทีเดียวของชีวิตไปนั่งเสียใจกับมัน
      รอดูดีกว่าว่าจะได้อะไรจากคดีแบบกลุ่มไหม ถ้าได้รับเช็คจำนวนเล็กจนน่าสมเพชทางไปรษณีย์เหมือนตอน Experian ถูกแฮก อย่างน้อยก็ยังมีของสักชิ้นให้วางบนโต๊ะกาแฟได้
    • ผมเองก็อยากรู้เลยใช้บริการเจ้าหลักรายหนึ่ง และตอนนี้ก็น่าจะถูกแฮกไปแล้วเหมือนกัน
      อย่างไรก็ดี ผมลงทะเบียนด้วย นามแฝง มอบชุดตรวจให้พ่อ และให้น้าผู้หญิงคนหนึ่งตรวจด้วย
      มันไม่ได้แม่นยำ แต่ก็พอเติมเต็มความอยากรู้ได้
      สุดท้ายแล้วทุกอย่างก็จะถูกแฮกเข้าสักวัน อย่างที่แฮกเกอร์คนดังคนหนึ่งเคยพูดไว้ ควรถือว่าสิ่งที่พูดหรือเขียนทั้งหมดจะกลายเป็นข้อมูลสาธารณะในสักวัน
      เพิ่มเติมคือ อาจมีคนบอกว่า “ทำกับพ่อแบบนั้นได้อย่างไร” แต่ถ้ารู้จักท่านก็จะเข้าใจ ท่านใช้ชีวิตแทบจะนอกระบบและกำลังจะจากไปในไม่ช้า ส่วนน้าผู้หญิงของผมเสียชีวิตไปแล้ว
    • ถ้า “ข้อมูลนั้นเข้าไปอยู่ในโมเดลหรือการวิจัยบางอย่างและยังคงมีชีวิตอยู่” หมายถึงเรื่องอย่าง การพัฒนายาใหม่ หรือการวิจัยทางการแพทย์ ผมก็ไม่เข้าใจว่าทำไมมันถึงเป็นเรื่องแย่
    • ผมเข้าใจว่าเคสนี้มีโครงสร้างที่ต่อให้ตัวเองไม่ได้ทำพลาด แต่แค่มี ความสัมพันธ์เป็นญาติ กับคนที่ทำพลาด ก็แทบจะถูกรวมเข้าไปด้วยแล้ว
    • หมายความว่าไม่ได้ขอลบข้อมูลหรือเปล่า? ถ้าลบแล้ว แฮกเกอร์ก็น่าจะไม่มีข้อมูลอยู่ในมือ
  • ผมเป็นหนึ่งในเหยื่อของการรั่วไหลครั้งนี้ เป็นคนที่เข้าใจเทคโนโลยีและรู้เรื่องความปลอดภัยดี ใช้รหัสผ่านที่ไม่ซ้ำและปลอดภัยในทุกที่
    บริษัทนี้กับการโยนความรับผิดชอบแบบไร้สาระของพวกเขาน่าขยะแขยงจริง ๆ
    นี่แทบไม่ต่างจาก การ doxxing ระดับองค์กร เลย เรื่องแบบนี้จะเกิดซ้ำไปเรื่อย ๆ จนกว่าผู้บริหารรายบุคคลในบริษัทยักษ์ใหญ่ที่ถ่มน้ำลายใส่หน้าผู้ใช้แบบนี้จะต้องรับผิดชอบเป็นการส่วนตัว
    เพราะก่อนถึงตอนนั้น พวกเขาไม่มีหน้าที่ต้องใส่ใจอย่างจริงจัง เราเป็นแค่วัตถุดิบที่ป้อนเข้าเครื่องจักรทำเงินเท่านั้น
    สิ่งที่ทำให้โกรธมากกว่าการรั่วไหลเองคือ การไม่มีความรับผิดชอบ
    ผมตกใจกับบรรยากาศในคอมเมนต์ที่โทษเหยื่อ

    • 23andMe ดูเหมือนพยายามทำให้คนเชื่อว่าบัญชีลูกค้าหลายหมื่นบัญชีถูกแฮ็กด้วยการโจมตีแบบ credential stuffing
      ต่อให้สมมติว่ามี match คนละ 1,500 คนและไม่มีญาติซ้ำกันเลย กว่าจะไปถึงขนาดข้อมูลที่รั่วคือราว 14 ล้านคน ก็ต้องมีบัญชีที่ถูกแฮ็กสำเร็จประมาณ 10,000 บัญชี
      ในความเป็นจริงมีคนจำนวนมากที่มีญาติซ้ำกัน ดังนั้นต้องมีบัญชีถูกโจมตีมากกว่า 10,000 บัญชีมาก และระหว่างนั้น 23andMe จะต้องไม่สังเกตเห็นสิ่งน่าสงสัยใด ๆ เลย ซึ่งไม่น่าเป็นไปได้มาก
      23andMe อ้างว่าสาเหตุหลักของการรั่วไหลนี้คือ credential stuffing แต่แฮ็กเกอร์ที่โพสต์ครั้งแรกบน Hydra Market เมื่อ 2 เดือนก่อนอ้างว่าพวกเขาแค่ใช้หรือใช้ในทางที่ผิดกับ API ที่ 23andMe ให้แก่พันธมิตรด้านวิชาการและงานวิจัย
      แฮ็กเกอร์อ้างว่ามีข้อมูล 300TB รวมถึงข้อมูลดิบ แต่ยังไม่ได้แสดงหลักฐานว่าขอบเขตการโจมตีใหญ่ขนาดนั้นจริง อย่างไรก็ตาม ถ้าคำกล่าวอ้างนั้นเป็นจริง การละเมิดนี้สอดคล้องกับคำอ้างเรื่องการใช้ API มากกว่า credential stuffing
      ดังนั้นถ้าขนาดที่ผู้โจมตีพูดถูกต้อง ก็มีความเป็นไปได้สูงกว่ามากว่าพวกเขาขูดข้อมูลทั้งหมดผ่าน API ตัวใดตัวหนึ่งของ 23andMe แทนที่จะเป็น credential stuffing อาจมีนักวิจัยคู่ค้ารายหนึ่งถูกแฮ็ก หรืออาจเคยมีหรือยังมีช่องโหว่ด้านการควบคุมการเข้าถึง API ที่ทำให้ผู้โจมตีขูดข้อมูลทั้งหมดซ้ำได้
      มีข้อมูลเกี่ยวกับ API ที่ 23andMe ให้บริการไม่มากนัก แต่ผมเจออันหนึ่งบน RapidAPI (https://rapidapi.com/23andme/api/23andme) และถ้ามีช่องโหว่ด้านการควบคุมการเข้าถึงหรือมีการแฮ็กผู้ใช้เพื่อยกระดับสิทธิ์ ก็อาจใช้บุคคลเพียงคนเดียวเป็นจุดเริ่มต้น ดาวน์โหลดข้อมูลจากหลาย endpoint แล้วไล่ตามญาติทั้งหมดแบบ recursive ผ่าน endpoint ญาติ เพื่อดาวน์โหลดข้อมูลของทุกคนทีละครั้งได้ ยังมี endpoint สำหรับจีโนมทั้งชุดของบุคคลด้วย
      ตอนนี้ผมสงสัยแนวป้องกันตัวของ 23andMe อย่างมาก แต่ก่อนที่ผู้โจมตีจะเผยแพร่หลักฐานว่ามีข้อมูลดิบ ก็ยากจะพิสูจน์ได้ว่าบริษัทผิดหรือโกหกเกี่ยวกับขนาดการโจมตีจริง ถึงอย่างนั้น คำกล่าวอ้างว่าใช้ API ก็ฟังมีเหตุผลกว่าวิธีที่ 23andMe เสนอมาก จึงน่ากังวลมาก
    • แปลกดีที่คนยอมรับได้มากขนาดนั้นกับการที่ครีเอเตอร์ OnlyFans ส่งวิดีโอและเสียงของ ฟีโนไทป์ ตัวเอง แต่กลับไม่มองว่า 23andMe ที่จับตัวคนไว้ถึงระดับซอร์สโค้ดเป็นเรื่องลามกอนาจาร
    • ถ้าคุณอัปโหลดข้อมูล DNA ของตัวเองขึ้นอินเทอร์เน็ต ก็ถึงเวลาต้องกลับไปทบทวนพื้นฐานด้านความปลอดภัยแล้ว
    • ผมไม่เข้าใจว่าคนที่มีความรู้ทางเทคนิคทำไมถึงเข้าร่วม ขุมทองล่อเป้า แบบนี้ อยากรู้ว่าเชื่อมั่นและไว้ใจอะไรอยู่
    • ตอนซื้อได้ใช้ชื่อปลอมกับบัตรเดบิตแบบเติมเงินหรือเปล่า? ผมคิดว่าโชคดีที่ทำแบบนั้น
      แน่นอนว่าถ้าพวกเขาต้องการจริง ๆ ก็ยังตามรอยผมได้จากญาติที่ใช้แพลตฟอร์มนี้
  • เห็นว่า “23andMe โทษการใช้รหัสผ่านซ้ำของลูกค้า” ไม่ว่าจะใช้ถ้อยคำอย่างไร นี่เป็นข้อบกพร่องของบริษัท ไม่ใช่ของลูกค้า
    ลูกค้าใช้รหัสผ่านซ้ำ และต่อไปก็จะยังทำแบบนั้น ถ้าเป็น ข้อมูลระบุตัวบุคคล ที่อ่อนไหว การบังคับใช้ 2FA หรือ Google SSO ง่ายกว่าการพยายามเปลี่ยนพฤติกรรมลูกค้ามาก

    • ผมไม่เชื่อแม้แต่วินาทีเดียวว่าบัญชีหลายล้านบัญชีบนแพลตฟอร์มเดียวถูกขโมยจาก credential stuffing เพราะรหัสผ่านที่ใช้ซ้ำ
    • เห็นด้วย พวกเขาสามารถทำ การยืนยันด้วยลิงก์อีเมล ที่ไม่ต้องให้ผู้ใช้ตั้งค่า 2FA เองได้
    • มี 2FA อยู่ก็จริง แต่มีความเป็นไปได้สูงว่าบัญชีหลายล้านบัญชีถูกสร้างก่อนมีฟีเจอร์นั้น และไม่ได้กลับมาเข้าสู่ระบบเพื่อตั้งค่า
      เป็นวิธีใช้แอปยืนยันตัวตนที่ปลอดภัยกว่า SMS แต่ยุ่งยากกว่าในการทำให้ผู้ใช้ยอมรับ จึงอาจกระทบอัตราการใช้งาน
    • นี่คือความล้มเหลวที่ไม่บังคับใช้การยืนยันตัวตนหลายปัจจัย
  • ถ้าข้อมูลลูกค้า 300TB รั่วไหลโดยที่ 23andMe ไม่รู้ตัว ก็ดูเหมือนเป็นความประมาท ไม่น่าจะมีสัญญาณเตือนบ้างหรือ

    • “Bob ทำไมค่า AWS เดือนนี้สูงจัง… อ้าว เวรแล้ว”
    • ถ้าไม่ใช่ credential stuffing พวกเขาอาจดึงออกไปทีละไม่กี่ GB ต่อ IP ต่อวันเพื่อหลบการตรวจจับความผิดปกติด้านปริมาณ
      ถึงอย่างนั้น 23andMe ก็ควรมีการตรวจจับหรือการควบคุมที่ระบุภูมิศาสตร์ใหม่ของปลายทางในพื้นที่เก็บข้อมูลลูกค้า เพราะไม่น่าจะปลอมปลายทางของลูกค้าแต่ละรายได้
      หรือแม้แต่ตอนเข้าถึงข้อมูลด้วยบัญชีระดับแอดมิน ก็ควรมีกระบวนการอนุมัติที่มี audit trail และขั้นตอนอนุมัติ
  • น่าทึ่งที่พยายามโทษลูกค้าที่จ่ายเงินเพื่อปกปิดความล้มเหลวด้านความปลอดภัยของระบบตัวเอง
    คุณควบคุมผู้ใช้ไม่ได้ แต่ควบคุม security posture ได้ ท่าทีและวิจารณญาณของผู้บริหาร 23andMe แย่มาก

    • ท่าทีที่ซึมออกมาจากการตอบสนองแบบนี้ไม่ใช่เสียใจที่ข้อมูลรั่ว แต่เหมือนเสียดายที่เอาข้อมูลนั้นไปทำเงินต่อไม่ได้แล้วมากกว่า
      สินค้าของ 23andMe คือ DNA ของผู้ใช้ เพียงแต่ถูกห่ออย่างสวยงามในรูปแบบที่ย่อยง่ายเท่านั้น
  • ถ้าพวกเขาตรวจไม่พบว่ามีบันทึกหลายล้านรายการถูกขโมยผ่าน credential stuffing นั่นก็ไม่ได้เป็นข้อแก้ตัวที่ดีกว่าสำหรับบริษัทเช่นกัน
    ผมคงตายก่อนจะได้เห็นบริษัทรับผิดชอบต่อการกระทำของตัวเอง เลยไม่แปลกใจนัก

  • 23andMe ออกมาตอนผมอยู่มัธยมปลาย และครูวิทยาศาสตร์คนหนึ่งใช้คาบเรียนทั้งคาบอธิบายว่าทำไมถึงไม่ควรใช้บริการนั้นเด็ดขาด
    พูดตามตรง นั่นเป็นคาบเรียนที่มีค่าที่สุดเท่าที่ผมเคยฟังมา และทำให้ผมไม่เคยคิดจะเข้าไปใกล้มันเลย
    ผมคิดว่า data privacy ควรถูกใส่ไว้ในวิชาสุขศึกษาภาคบังคับของโรงเรียนอะไรทำนองนั้น แต่หลักสูตรที่กำหนดคงถูกล็อบบี้จนพัง และคงไม่สอนเนื้อหาที่มีคุณค่าจริง ๆ

    • ไม่เข้าใจว่าทำไมคาบนั้นถึงมีค่าขนาดนั้น และก็ไม่เข้าใจว่าทำไมสำหรับคนอื่น การใช้ 23andMe ถึงเป็นความเสียใจครั้งใหญ่ที่สุดในชีวิต
      อะไรใน DNA ที่เป็นเรื่องส่วนตัว
  • บทความล่าสุดที่เกี่ยวข้อง:
    23andMe ถูกฟ้องจากเหตุแฮ็กข้อมูลพันธุกรรมที่กระทบผู้คนหลายพันราย - https://news.ycombinator.com/item?id=37895586 - ตุลาคม 2023, ความคิดเห็น 20 รายการ
    ใครแฮ็ก 23andMe เพื่อเอา DNA ของเรา — และทำไม? - https://news.ycombinator.com/item?id=37886543 - ตุลาคม 2023, ความคิดเห็น 3 รายการ
    บัญชี 23andMe ถูกยึดและข้อมูลถูกประกาศขายบนฟอรัมแฮ็กเกอร์ - https://news.ycombinator.com/item?id=37810755 - ตุลาคม 2023, ความคิดเห็น 2 รายการ

  • “ประเภทของข้อมูลที่บริษัทตรวจพันธุกรรมเก็บรวบรวมไม่ได้รับการคุ้มครองภายใต้ HIPAA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลสุขภาพของสหรัฐฯ ในปัจจุบัน”
    ดูเหมือนล็อบบี้ยิสต์ของอุตสาหกรรมตรวจพันธุกรรมจะทำงานได้ดีทีเดียว

    • ถ้า DNA ทางกายภาพเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง ทุกที่ที่เราทิ้ง DNA ไว้ก็ต้องมีความปลอดภัยเทียบเท่าคลินิกแพทย์
      แต่ข้อมูลที่เปิดเผยออกมาจากการวิเคราะห์ DNA เช่น การมีหรือไม่มีโรคทางพันธุกรรม ควรเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง
      มันแปลกที่แค่มีการประมวลผลเส้นผมเส้นหนึ่ง ก็สามารถเปลี่ยนสถานะจาก “ไม่ใช่ข้อมูลสุขภาพที่ได้รับการคุ้มครอง” เป็น “ตอนนี้เป็นข้อมูลสุขภาพที่ได้รับการคุ้มครองแล้ว” ได้
      คำถามว่า “ตั้งแต่จุดใดจึงกลายเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง” น่าจะเป็นคำถามที่ตอบยาก
      โดยส่วนตัวคิดว่าการคุ้มครองข้อมูลเกี่ยวกับ DNA จำเป็นต้องมีกรอบแยกต่างหากจาก HIPAA
    • มีหลักฐานรองรับเรื่องนั้นไหม? เคยมีการพิจารณาจริง ๆ หรือเปล่า หรือแค่แต่งขึ้นมาเอง