1 คะแนน โดย GN⁺ 2023-12-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในตอนแรกมีรายงานว่าบัญชีที่ถูกเจาะโดยตรงมีราว 14,000 บัญชี แต่ผ่านเครือข่าย DNA Relatives ทำให้ขอบเขตความเสียหายขยายเป็น 6.9 ล้านราย
  • ผู้ใช้ที่ opt-in ราว 5.5 ล้านราย มีข้อมูลที่ถูกเปิดเผย ได้แก่ ชื่อ ปีเกิด ป้ายความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้ระบุเอง
  • อีกประมาณ 1.4 ล้านราย ถูกเข้าถึงข้อมูลโปรไฟล์ Family Tree ซึ่งรวมถึงชื่อที่แสดง ป้ายความสัมพันธ์ ตำแหน่ง และสถานะการเลือกแชร์ข้อมูล
  • 23andMe ระบุว่าการ ใช้รหัสผ่านซ้ำ ของลูกค้า ทำให้สามารถเข้าถึงบัญชีได้ด้วยรหัสผ่านที่รั่วไหลจากบริการอื่น
  • เมื่อบัญชีหนึ่งถูกเจาะ ก็อาจนำไปสู่การเปิดเผยข้อมูลของญาติที่เชื่อมโยงกัน ทำให้ความเสียหายครอบคลุมเกือบครึ่งหนึ่งของลูกค้าทั้งหมด 14 ล้านรายที่ 23andMe รายงานไว้

การรั่วไหลข้อมูลของ 23andMe ขยายเป็น 6.9 ล้านราย

  • เมื่อวันศุกร์ 23andMe ประกาศว่าแฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าราว 0.1% หรือประมาณ 14,000 ราย
  • ในเวลานั้น บริษัทระบุว่าผ่านบัญชีเหล่านี้ยังสามารถเข้าถึงไฟล์ “จำนวนมาก” ที่มีข้อมูลบรรพบุรุษของผู้ใช้อื่นได้ แต่ไม่ได้เปิดเผยจำนวนของ “ผู้ใช้อื่น” ที่ได้รับผลกระทบ
  • ต่อมาโฆษกของ 23andMe ยืนยันว่าจำนวนผู้ได้รับผลกระทบทั้งหมดอยู่ที่ 6.9 ล้านราย
  • ตัวเลขนี้คิดเป็นเกือบครึ่งหนึ่งของลูกค้าทั้งหมด 14 ล้านราย ที่ 23andMe รายงานไว้

ข้อมูลที่ถูกเปิดเผยใน DNA Relatives และ Family Tree

  • ประมาณ 5.5 ล้านราย เป็นผู้ใช้ที่ opt-in เข้าฟีเจอร์ DNA Relatives ของ 23andMe
    • ฟีเจอร์นี้ช่วยให้ลูกค้าสามารถแชร์ข้อมูลบางส่วนกับผู้ใช้อื่นโดยอัตโนมัติ
    • ข้อมูลที่แฮ็กเกอร์เข้าถึงได้ประกอบด้วย ชื่อ ปีเกิด ป้ายความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้ระบุเอง
  • ผู้ใช้ที่ opt-in กับ DNA Relatives อีกประมาณ 1.4 ล้านราย ถูกเข้าถึงข้อมูลโปรไฟล์ Family Tree
    • ข้อมูลที่รวมอยู่ได้แก่ ชื่อที่แสดง ป้ายความสัมพันธ์ ปีเกิด ตำแหน่งที่ผู้ใช้ระบุเอง และสถานะว่าผู้ใช้เลือกแชร์ข้อมูลหรือไม่
  • เนื่องจาก DNA Relatives มีโครงสร้างที่จับคู่ผู้ใช้กับญาติ หากบัญชีหนึ่งถูกแฮ็ก ก็อาจทำให้ข้อมูลส่วนบุคคลไม่เพียงของเจ้าของบัญชี แต่รวมถึงญาติที่เชื่อมโยงกันถูกเปิดเผยด้วย
  • โครงสร้างการเชื่อมโยงนี้ทำให้ขอบเขตความเสียหายกว้างกว่าจำนวนบัญชีที่ถูกเจาะโดยตรงอย่างมาก

โพสต์ในฟอรัมแฮ็กและเบาะแสความแท้ของข้อมูล

  • ต้นเดือนตุลาคม แฮ็กเกอร์รายหนึ่งอ้างในฟอรัมแฮ็กชื่อดังว่าขโมย ข้อมูล DNA ของผู้ใช้ 23andMe มาได้
  • เพื่อเป็นหลักฐานของการเจาะ เขาเผยแพร่ข้อมูลที่อ้างว่าเป็นของผู้ใช้เชื้อสายยิวอัชเคนาซี 1 ล้านราย และผู้ใช้ชาวจีน 100,000 ราย
  • แฮ็กเกอร์รายดังกล่าวเสนอขายข้อมูลในราคา 1 ถึง 10 ดอลลาร์ ต่อบัญชี
  • สองสัปดาห์ต่อมา แฮ็กเกอร์คนเดิมโฆษณาข้อมูลเพิ่มเติมในฟอรัมเดียวกัน โดยอ้างว่าเป็นบันทึกอีก 4 ล้านรายการ
  • ยังพบด้วยว่าในอีกฟอรัมแฮ็กหนึ่ง มีร่องรอยว่าชุดข้อมูลที่อ้างว่าเป็นของลูกค้า 23andMe ถูกนำไปโฆษณาไว้แล้วก่อนประกาศที่เป็นที่รู้จักอย่างกว้างขวางถึงสองเดือน
  • เมื่อนำข้อมูลที่รั่วไหลเมื่อหลายเดือนก่อนมาวิเคราะห์ พบว่าบางระเบียนตรงกับข้อมูลพันธุกรรมที่นักวิจัยสมัครเล่นและนักลำดับวงศ์ตระกูลเผยแพร่ไว้บนออนไลน์
    • แม้ชุดข้อมูลทั้งสองจะมีรูปแบบต่างกัน แต่มีข้อมูลผู้ใช้เฉพาะบางส่วนและข้อมูลทั่วไปที่ตรงกัน
    • ด้วยเหตุนี้ ข้อมูลที่แฮ็กเกอร์ปล่อยออกมาอย่างน้อยบางส่วนจึงมีความเป็นไปได้ว่าเป็น ข้อมูลลูกค้า 23andMe จริง

สาเหตุของการเจาะตามที่ 23andMe ระบุ

  • ในการเปิดเผยเหตุการณ์เจาะระบบเมื่อเดือนตุลาคม 23andMe ชี้ว่าเกิดจากการ ใช้รหัสผ่านซ้ำ ของลูกค้า
  • แฮ็กเกอร์สามารถใช้รหัสผ่านที่ถูกเปิดเผยจากเหตุข้อมูลรั่วไหลของบริษัทอื่น มาลองเข้าสู่บัญชีของเหยื่อแบบเดาสุ่มจำนวนมากได้
  • เมื่อเข้าถึงบัญชีหนึ่งได้แล้ว ก็สามารถใช้เครือข่ายการเชื่อมโยงของ DNA Relatives เพื่อเข้าถึงข้อมูลของผู้ใช้อื่นต่อ ทำให้ขอบเขตความเสียหายขยายวงอย่างมาก

1 ความคิดเห็น

 
GN⁺ 2023-12-06
ความคิดเห็นจาก Hacker News
  • เหตุการณ์นี้เป็นตัวอย่างโต้แย้งที่สมบูรณ์แบบต่อคำพูดทำนองว่า “ทำไมต้องใส่ใจเรื่องความเป็นส่วนตัวขนาดนั้น? ต่อให้ฉันแชร์ ก็ไม่ได้กระทบเธอ ถ้าไม่ชอบก็ไม่ต้องทำสิ”
    ถ้าญาติอัปโหลดข้อมูลจีโนมไปยัง 23andMe ข้อมูลเกี่ยวกับตัวฉันก็ถูกเปิดเผยไปด้วย ไม่ว่าฉันจะเลือกอย่างไรก็ตาม
    หวังว่าผู้คนจะตระหนักว่าสิ่งเดียวกันนี้ใช้ได้กับกรณีการเก็บรวบรวมข้อมูลพฤติกรรมของคนที่มีภูมิหลังร่วมกันด้วย

    • เห็นด้วยกับข้อโต้แย้งนั้นเอง แต่ไม่แน่ใจว่าผู้คนพูดกันแบบนั้นจริง ๆ หรือไม่
      คำพูดที่พบบ่อยกว่าคือแค่ “ทำไมต้องใส่ใจเรื่องความเป็นส่วนตัวขนาดนั้น?” และหลายคนก็ไม่เข้าใจตั้งแต่แรกว่าทำไมความเป็นส่วนตัวถึงสำคัญ
      เหตุการณ์นี้ก็คงยากจะเป็นการโต้แย้งที่หนักแน่นกว่าการรั่วไหลครั้งอื่น ๆ จนกว่าจะได้แสดงให้เห็นความเสียหายจริง
      สงสัยว่าคิดว่าจะเกิดอะไรขึ้นจริง ๆ กับคนที่ข้อมูลเกี่ยวกับบรรพบุรุษถูกขโมยไปครั้งนี้
    • โดยส่วนตัวคิดว่าเหตุข้อมูล Equifax รั่วไหลเป็นตัวอย่างโต้แย้งที่ดีกว่า
      23andMe อย่างน้อยลูกค้ายังตัดสินใจได้ว่าจะใช้บริการหรือไม่ และชั่งน้ำหนักข้อดีข้อเสียได้ แต่ Equifax บังคับให้เราเข้าไปอยู่ในระบบประเมินที่ส่งผลตั้งแต่การขอกู้ไปจนถึงการสมัครงาน และดูดข้อมูลที่บุคคลที่สามขายมาเก็บเป็นข้อมูลส่วนตัวของเรา
      หลังข้อมูลรั่วก็ไม่มีการเยียวยาที่ได้ผล และทั้งที่มีโอกาสถูกขโมยตัวตนสูงมาก ก็ให้เพียง ‘การมอนิเตอร์เครดิต’ แบบพอเป็นพิธี แทนที่จะยอมรับความผิด
      สุดท้ายบริษัทจัดอันดับเครดิตที่สร้างปัญหาขึ้นมาก็แชร์และเผยแพร่ข้อมูลโดยไม่ได้รับความยินยอม แต่กลับไม่ต้องรับผิดชอบอะไรเลย
      มองว่านี่เป็นตรรกะที่ไม่รู้เท่าทันและทำลายตัวเอง ซึ่งทำให้แม้แต่คนอื่นต้องตกอยู่ในสภาพที่แย่ลง เพราะความประมาทที่มองความเป็นส่วนตัวเป็นเรื่องเล็กน้อย
    • สนับสนุนความเป็นส่วนตัว และโดยมากยอมรับความไม่สะดวกมากกว่าคนทั่วไปเพื่อหลีกเลี่ยงการแชร์ แต่ก็คิดว่าการเลือกของแต่ละบุคคลสำคัญเช่นกัน
      นึกโมเดลความเป็นส่วนตัวที่จะห้ามคนอื่นแชร์ข้อมูลของตัวเอง เพียงเพราะข้อมูลบางส่วนทับซ้อนกับฉัน ไม่ค่อยออก
    • พูดให้ถูกคือไม่ได้มีรายงานว่าข้อมูลจีโนมถูกขโมย
      สิ่งที่รั่วไหลดูจะใกล้เคียงกับข้อมูลลำดับวงศ์ตระกูลและญาติพี่น้องมากกว่า
      ว่ากันว่าข้อมูลที่ถูกขโมยมีชื่อ ปีเกิด ป้ายกำกับความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้รายงานเอง
    • เห็นด้วย
      คล้าย ๆ กันคือถามว่า “คุณมีรายได้เท่าไหร่?”, “ฉันอ่านจดหมายของคุณได้ไหม?”, “ฉันเอากุญแจบ้านคุณไปได้ไหม?”
      มีคนที่เข้าใจแนวคิดนามธรรมได้ยาก แต่พอโยงกลับมาเป็นโลกทางกายภาพ ทุกคนจะเข้าใจความไม่สบายใจได้ทันที
  • สงสัยว่ามันเกี่ยวข้องกับการเปลี่ยนแปลงเงื่อนไขการใช้งานที่ส่งออกไปในวันขอบคุณพระเจ้า ซึ่งเป็นเวลาที่เหมาะมากจะถูกกลบอยู่ในอินบ็อกซ์ของทุกคนแค่ไหน
    การเปลี่ยนแปลงนี้พยายามห้ามการฟ้องแบบกลุ่ม กำหนดให้ต้องผ่านกระบวนการ “ไม่เป็นทางการ” 60 วันก่อนดำเนินการทางกฎหมาย และผลักให้เข้าสู่อนุญาโตตุลาการที่มีผลผูกพัน
    ตามข้อกำหนดที่ทนายของ 23andMe ร่างขึ้น ในฐานะลูกค้าแทบไม่มีสิทธิทางกฎหมายที่แท้จริงเหลืออยู่เลย

    • แบบนี้จะมีผลบังคับในศาลไหม?
      อย่างน้อยในเยอรมนี สัญญาที่เอื้อประโยชน์ให้ฝ่ายหนึ่งมากเกินไปจะเป็นโมฆะเมื่อขึ้นศาล
    • เพิ่งได้รับอีเมลอัปเดต และดูเหมือนว่าในเงื่อนไขใหม่จะมีทางให้เลือกปฏิเสธได้
      ไม่ค่อยแน่ใจว่าผลลัพธ์จะเป็นอย่างไร
      “เราขอแนะนำให้คุณอ่านเงื่อนไขใหม่ทั้งหมด หากคุณไม่ยอมรับเงื่อนไข โปรดแจ้งให้เราทราบภายใน 30 วันนับจากวันที่ได้รับอีเมลนี้ จากนั้นข้อกำหนดการใช้บริการเดิมจะยังคงมีผลบังคับใช้ต่อไป หากคุณไม่แจ้งภายใน 30 วัน จะถือว่าคุณยอมรับเงื่อนไขใหม่”
      อีเมลสำหรับแจ้ง: legal@23andme.com
    • ถ้าผู้ใช้ 6.9 ล้านคนเริ่มกระบวนการอนุญาโตตุลาการ 23andMe อาจกลับมาชอบการฟ้องแบบกลุ่มมากกว่าก็ได้
  • สงสัยว่าต่อไปจะยังมีใครคิดว่าความเป็นส่วนตัวในความหมายที่ใช้งานได้จริงยังคงรักษาไว้ได้หรือไม่
    อัลกอริทึมแมชชีนเลิร์นนิงกำลังเรียนรู้วิธี ระบุตัวบุคคลจากแค่ท่าเดิน โดยไม่ต้องใช้การจดจำใบหน้า และยังมุ่งไปถึงการถอดรหัสข้อความที่พิมพ์จากเสียงกดแป้นคีย์บอร์ดเพียงอย่างเดียวด้วย
    ถ้ามีเบาะแสโดยรวมจากข้อมูลสาธารณะทั้งหมด และมีอัลกอริทึมที่พัฒนาไปไกลพอ จะยังมีวิธีรักษาความเป็นส่วนตัวแบบที่วันนี้เราถือว่าสมเหตุสมผลได้ไหม โดยไม่ต้องใช้มาตรการสุดโต่งทุกอย่างแบบไม่มีตกหล่น?
    ไม่ได้ตั้งใจจะตัดสินเชิงคุณค่า แค่หมายความว่าแนวโน้มที่กำลังเกิดขึ้นดูเป็นแบบนั้น

    • คงยาก แต่ก็ไม่ได้เป็นเหตุผลให้เลิกถกกันว่าความเป็นส่วนตัวในอนาคตควรมีหน้าตาอย่างไร
      ถ้าอยู่เฉย ๆ พวกเขาก็ชนะ แต่ถ้าถกกันอย่างเปิดเผย อย่างน้อยก็ยังมีโอกาสสร้าง กลไกป้องกัน ได้
      แน่นอน พูดตรง ๆ ก็คงพังหมดแล้ว และ EvilCorp ก็น่าจะชนะอยู่ดี บางทีเราอาจแค่เปลืองพลังไปกับการสู้ แล้วทำให้ตัวเองเสียสติ
      การต่อต้านไร้ความหมาย
    • เมื่อประมาณ 10 ปีก่อน เคยรู้จักคนที่ทำวิจัยอัลกอริทึมคอมพิวเตอร์วิทัศน์สำหรับจดจำคนจาก รูปทรงหู·การเดิน·ลักษณะร่างกาย แทนใบหน้า
      เพราะบริษัทอย่าง Fortinet พยายามทำ “คนเฝ้าประตูอัตโนมัติ” ที่ติดกล้องไว้ตรงทางเข้าอพาร์ตเมนต์หรือคอนโด แล้วสแกน·วิเคราะห์คนที่เดินผ่าน
      แทบไม่เห็นจิตสำนึกด้านจริยธรรมจากใครที่เกี่ยวข้องเลย
      สิ่งที่จำเป็นคือกฎหมายที่เข้มแข็งซึ่งบัญญัติสิทธิที่จะถูกลืมไว้อย่างชัดเจน
      ไม่ได้มองว่าการทำให้การระบุตัวตนเป็นอัตโนมัตินั้นผิดโดยเนื้อแท้ แต่ความพยายามของบริษัทต่าง ๆ ที่จะระบุตัวมนุษย์ทุกคนเท่าที่ทำได้โดยไม่ได้รับความยินยอมนั้นผิดอย่างมาก
    • รัฐบาลสหราชอาณาจักรคงศึกษาท่าเดินที่ช่วยรักษาความเป็นส่วนตัวมาตั้งแต่หลายสิบปีก่อนแล้ว: https://youtu.be/eCLp7zodUiI
    • เห็นด้วย แต่ ความเป็นส่วนตัว ก็เป็นนามธรรมที่วางทับอยู่บนสิ่งที่ผู้คนกังวลจริง ๆ ด้วย
      คำตอบของคำถามว่า “ทำไมถึงอยากซ่อนข้อมูลนี้” ท้ายที่สุดก็มักลงเอยที่ความกลัวว่า “[บุคคลหรือกลุ่มบางกลุ่ม] อาจใช้ [ข้อมูลส่วนตัว] เพื่อสร้าง [ผลลัพธ์ที่เลวร้าย] ให้กับฉัน”
      สิ่งที่ผู้คนใส่ใจจริง ๆ ไม่ใช่ตัวข้อมูลเอง แต่เป็นความเสี่ยงของผลลัพธ์ที่เลวร้าย
      ถ้าแนวโน้มนี้ถูกต้อง จุดโฟกัสควรอยู่ที่การป้องกัน ความไม่สมดุลของอำนาจแบบอสมมาตร ในธุรกรรมทางสังคมที่ทำให้เกิดผลลัพธ์เลวร้ายเหล่านั้นได้
    • โดยส่วนตัวไม่คิดว่าจะรักษาไว้ได้
      เมื่อก่อนแค่คิดว่าเอกสารลับอาจรั่วก็แทบคลั่งแล้ว แต่พอเห็นว่าข้อมูลส่วนบุคคลถูกจัดการเละเทะแค่ไหน ก็รู้ว่ามันแทบจะเป็นเรื่องที่รับประกันได้
      แม้ในออสเตรเลียที่มีกฎหมายความเป็นส่วนตัวค่อนข้างดี การแฮ็กครั้งใหญ่ของ Optus ก็ทำให้ข้อมูลบัตรเครดิตของประชากรเกือบครึ่งประเทศถูกขโมย และการแฮ็ก Medibank ก็ทำให้ข้อมูลของลูกค้าประกันสุขภาพเอกชนจำนวนมากหลุด
      ตอนยื่นขอสินเชื่อบ้าน จึงได้รู้ว่าแม้แต่นายหน้าสินเชื่อที่อยู่อาศัยรายเล็ก ๆ ในย่านต่าง ๆ ก็ได้รับเอกสารยืนยันตัวตนที่อ่อนไหวทางอีเมลปีละหลายร้อยถึงหลายพันฉบับ และไม่ลบทิ้งหลังธุรกรรมจบ
      บริษัทจำนวนมากในออสเตรเลียยืนยันตัวตนด้วยแค่ชื่อ ที่อยู่ และวันเกิด ซึ่งโดยทั่วไปค้นหา 5 นาทีก็เจอได้ง่าย ๆ
      เคยตั้ง PIN ในบัญชี Telstra ไว้หลายปีเพื่อกันไม่ให้มีการเปลี่ยนแปลงการจัดการบัญชี แต่วันหนึ่งโทรไป เขากลับดำเนินการให้เฉย ๆ โดยไม่ถามรหัสผ่านเลย
      ถ้าจะให้ความเป็นส่วนตัวได้รับการเคารพจริง ๆ คงมีทางเดียวคือให้ บริษัท ซึ่งเป็นผู้เสียหายที่แท้จริง ต้องรับผิดชอบต่อการฉ้อโกง
      มุกเก่า ๆ ที่ว่า “ตัวตนถูกขโมย” จริง ๆ แล้วไม่ใช่ตัวตนถูกขโมย แต่เป็นกระบวนการยืนยันตัวตนของบริษัทที่ล้มเหลว แล้วโยนความรับผิดชอบเพื่อเลี่ยงการรับภาระความเสียหาย
      ดังนั้นทุกวันนี้จึงใช้แต่บัตรเครดิต
      เพราะถ้ามีการใช้งานโดยทุจริต ก็ทำ chargeback ได้ และแทบเป็นกลไกเดียวที่ป้องกันการเข้าถึงเงินของตัวเองโดยไม่ได้รับอนุญาตได้จริง
  • ช่วงหลังมีเรื่องที่ค่อนข้างชวนขนลุกเกิดขึ้น
    โรงพยาบาลที่ไปเมื่อไม่กี่เดือนก่อนโทรมาขอให้เข้าร่วม โปรแกรมวิเคราะห์ DNA
    เขาบอกว่า “ข้อดีที่สุดคือคุณไม่ต้องทำอะไรเลยครับ/ค่ะ เราใช้ตัวอย่างเลือดที่เก็บไปครั้งก่อนได้เลย”
    แน่นอนว่าปฏิเสธไป แต่สิ่งที่รับไม่ได้คือพวกเขาเก็บตัวอย่างชีวภาพที่เชื่อมโยงกับตัวฉันไว้โดยไม่แจ้ง และยังสามารถมาวิเคราะห์ DNA ย้อนหลังได้ด้วย
    รู้สึกเหมือนเป็นหลักฐานว่ากฎหมายความเป็นส่วนตัวของสหรัฐฯ แทบไม่มีอยู่จริง
    ใน EU ไม่สามารถแช่แข็งเก็บตัวอย่างไว้โดยไม่ได้รับความยินยอม และแม้แต่ตัวอย่างที่ไม่ได้แช่แข็งก็อนุญาตให้เก็บได้แค่ไม่กี่วันเท่านั้น

    • ในสวีเดนมีทะเบียนตัวอย่างเลือดของทุกคนที่เกิดในสวีเดนตั้งแต่ปี 1975 เป็นต้นมา: https://sv.wikipedia.org/wiki/PKU-registret
      บทความวิกิเป็นภาษาสวีเดนเท่านั้น
      ตามที่คาดได้ หรืออาจเรียกว่าน่าสนใจ ตำรวจไม่สามารถเข้าถึงข้อมูลนี้ได้ จนกระทั่งหลังรัฐมนตรีของรัฐบาลถูกฆาตกรรมในปี 2003 จึงได้ตัวอย่างของผู้ต้องสงสัยมา
      เท่าที่ทราบ หลังจากนั้นก็ไม่เคยถูกใช้อีก
      จะมองแบบเย้ยหยันก็ได้ แต่จนถึงตอนนี้ การใช้ทะเบียนนี้โดยตำรวจยังไม่ได้กลายเป็นเรื่องปกติ และยังอยู่ภายใต้การควบคุมของศาล
    • อย่างน้อยโรงพยาบาลก็โทรมาขออนุญาตใช้ และถ้าทำตามกฎหมายจริง ๆ ก็คงไม่ได้ใช้ตัวอย่างจริง
      แบบนี้ก็แปลว่ามีกฎหมายความเป็นส่วนตัวอยู่ไม่ใช่หรือ?
      อาจเป็นแค่ขั้นตอนหนึ่งในกระบวนการจัดการผลตรวจหรือตัวอย่างเก่า ๆ ก็ได้
  • มีอะไรบางอย่างไม่สมเหตุสมผล
    “23andMe ระบุว่าการรั่วไหลของข้อมูลเกิดจากการที่ลูกค้า ใช้รหัสผ่านซ้ำ” แต่ถ้าบัญชี 14,000 บัญชีถูกเจาะในคราวเดียว รหัสผ่านเหล่านั้นมาจากไหนกัน?
    หรือมีการรั่วไหลอื่นที่เกี่ยวข้อง เช่น LastPass หรือเปล่า?
    อีกอย่าง ถ้าแฮกเกอร์เข้าถึงข้อมูลส่วนบุคคลของคน 6.9 ล้านคนผ่านฟีเจอร์ “DNA Relatives” ก็แปลว่าบัญชี 14,000 บัญชีที่ถูกเจาะเดิมแต่ละบัญชีมีญาติที่ไม่ซ้ำกันราว 492 คน
    ผมพลาดอะไรไปหรือเปล่า?

    • การที่บัญชี 14,000 บัญชีถูกเจาะนั้นเองไม่ได้แปลกใจมากนัก ยกเว้นปัญหาทางเทคนิคที่ไม่สามารถจำกัดหรือตรวจจับความพยายามล็อกอินด้วยบัญชีอื่น ๆ ต่อเนื่องได้
      ผู้โจมตีอาจใช้เครือข่ายกระจายขนาดใหญ่เพื่อกวาดข้อมูล แต่เป็นไปได้สูงว่าตั้งแต่แรกไม่มีการตรวจจับหรือการป้องกัน
      อย่างไรก็ตาม พอผมล็อกอินเพื่อดูจำนวนญาติในบัญชีของตัวเอง 23andMe กลับบล็อกการล็อกอินและบังคับให้รีเซ็ตรหัสผ่าน โดยอ้างเหตุผลเรื่องการใช้รหัสผ่านซ้ำ
      บัญชีนี้ผมใช้รหัสผ่านที่แข็งแรงมากเสมอ ไม่เคยนำไปใช้ซ้ำที่ไหน และยังเปิด การยืนยันตัวตนสองขั้นตอน ไว้ด้วย
      ดูเหมือนบริษัทเองก็ไม่ได้สบายใจกับคำอธิบายว่าสาเหตุมาจากรหัสผ่านที่ถูกใช้ซ้ำทั้งหมดนัก
      หลังจากรีเซ็ตรหัสผ่านที่ไม่เคยใช้ซ้ำแล้วไปตรวจดู แผง DNA relatives มี 60 หน้า แต่ละหน้าแสดง 25 คน รวมแล้วสามารถดึงรายชื่อญาติได้ 1,500 คน
      ถ้ากวาดข้อมูลแบบนี้จากบัญชีสุ่ม 14,000 บัญชี ก็สร้างเครือข่ายขนาดใหญ่ได้มาก
    • ไม่แปลกใจเลย
      รายการขนาดใหญ่ที่รวบรวมรหัสผ่านรั่วไหลจากอดีตหลายครั้งมีให้หาได้สาธารณะ และเข้าถึงได้ง่ายไม่ใช่แค่สำหรับผู้โจมตี แต่สำหรับใครก็ได้
      ในบรรดาผู้ใช้กว่า 14 ล้านคน เป็นไปได้อย่างสมเหตุสมผลที่ 14,000 คน หรือ 0.1% จะนำรหัสผ่านที่รั่วจากที่อื่นกลับมาใช้ซ้ำ
      ยิ่งถ้าไม่ได้ตรวจจับและยกเลิกรหัสผ่านพวกนั้นโดยชัดเจน เหมือนที่คุยกันใน HN เมื่อวานเกี่ยวกับงานของ Troy Hunt ก็ยิ่งเป็นเช่นนั้น
    • ถ้าเป็นการรั่วจากการใช้รหัสผ่านซ้ำ ก็ต้องหมายความว่าชุดชื่อผู้ใช้กับรหัสผ่านรั่วมาจากที่อื่น
      ถ้าชื่อผู้ใช้กับรหัสผ่านรั่วจาก 23andMe นั่นไม่ใช่ปัญหาใช้รหัสผ่านซ้ำ แต่เป็นแค่การไปเจอรายการข้อมูลรับรองของ 23andMe แล้วนำมาถอดรหัส
      การที่มีผู้ใช้ 23andMe 14,000 คนซ้ำอยู่ในรายการข้อมูลรั่วของเว็บไซต์อื่น หรือรายการที่รวมข้อมูลรั่วจากหลายเว็บเข้าด้วยกัน ไม่ใช่เรื่องน่าแปลกใจเลย
    • ถ้าสถานการณ์ 23andMe ของผมใกล้เคียงค่าเฉลี่ย ทั้งในแง่จำนวนญาติ DNA และความเสี่ยงที่ญาติจะถูกแฮ็ก ก็ฟังดูเป็นไปได้
      ลองค้นดูพบว่า 23andMe มีลูกค้า 14 ล้านคน และบัญชีที่รั่ว 14,000 บัญชีเท่ากับถูกเจาะ 1 ใน 1,000 บัญชี
      ในรายชื่อญาติ DNA ของผมมีมากกว่า 1,500 คนเล็กน้อย
      ถ้าแต่ละบัญชีมีโอกาสถูกแฮ็ก 1/1000 ความน่าจะเป็นที่ไม่มีญาติของผมคนใดถูกแฮ็กเลยคือ (1-1/1000)^1500 = 0.223
      ความน่าจะเป็นที่มีญาติอย่างน้อยหนึ่งคนถูกแฮ็กจึงเป็น 0.777
      ถ้าสมมติว่าผมเป็นคนค่าเฉลี่ย ก็คาดได้ว่าคนที่มีบัญชีที่ถูกแฮ็กเป็นญาติจะมีราว 10.8 ล้านคน ซึ่งดูใกล้พอกับตัวเลข 6.9 ล้านคน
  • ผมไม่เคยคิดจะใช้ 23andMe อย่างจริงจังเลย
    ไม่ใช่เพราะแฮกเกอร์ แต่เพราะ รัฐบาลจะใช้ข้อมูลนั้นอย่างไร
    ผมไม่อยากมีส่วนรับผิดชอบที่ทำให้ญาติสักคนซึ่งบังเอิญเกี่ยวข้องกันถูกกล่าวหาว่าก่ออาชญากรรม เพียงเพราะผมอยากรู้แผนผังตระกูล

    • เพราะ 23andMe ผมจึงได้รู้ว่าพ่อไม่ใช่พ่อทางชีววิทยาจริง ๆ และยังมีน้องสาวต่างพ่อ/แม่กับกลุ่มญาติใหญ่ที่ไม่เคยรู้ว่ามีอยู่
      ผมเข้าใจดีถึงความกังวลเรื่องความเป็นส่วนตัวและข้อมูลที่ระบุตัวบุคคลได้ แต่สำหรับผม มันคุ้มค่าแน่นอน เพราะช่วยให้เข้าใจว่าตัวเองเป็นใครมากขึ้น และได้พบญาติที่ต้อนรับผมอย่างอบอุ่นมาก
      ท้ายที่สุดมันคือ การแลกเปลี่ยนข้อดีข้อเสีย
    • ผมอยากรู้ข้อมูล 23andMe ของตัวเองจริง ๆ แต่คิดไว้ว่าไม่วันใดก็วันหนึ่งมันจะถูกแฮ็ก หรือถูกขายให้กับองค์กรไม่น่าเชื่อถือที่อยากทำเงินเร็ว ๆ จากผู้ใช้
      ถ้าทำการตรวจแล้วหลังจากส่งผลให้ผม บริษัททำลายข้อมูลการทดสอบและข้อมูลฝั่งบริษัท หรือถ้ามี ชุดตรวจที่บ้าน ซึ่งข้อมูลไม่ออกจากบ้านเลย ผมถึงจะลอง
      ผมเข้าใจได้ยากว่าทำไมบริษัทเหล่านี้ต้องเก็บข้อมูลนี้ต่อไปเรื่อย ๆ
      มันเป็นภาระความรับผิดชอบมหาศาล
      ในกรณีนี้อาจเป็นเพราะฟีเจอร์ระบุความสัมพันธ์ทางเครือญาติ แต่ก็ยังน่าสงสัยว่าฟีเจอร์นั้นคุ้มกับความเสี่ยงหรือไม่
    • เคยมีกรณีใช้ฐานข้อมูลแบบนี้ตั้งข้อหาที่ไม่ใช่ฆาตกรรมหรือข่มขืนไหม?
      คดีที่ผมเห็นว่าเทคโนโลยีนี้ช่วยไขได้นั้น เป็นประเภทที่ถ้าสิ่งที่ผมทำช่วยหยุดคนที่ทำเรื่องเลวร้ายร้ายแรงได้ ผมก็ยินดีอย่างเต็มใจ
    • ถ้านั่นเป็นเรื่องเดียวที่กังวล คุณควรอ่านเรื่อง นาซี ให้มากขึ้น
      แค่ลองจินตนาการว่าถ้าพวกเขาได้ฐานข้อมูลพันธุกรรมมาไว้ในมือ พวกเขาจะทำอะไร
  • บังเอิญว่าเมื่อวานผมอ่านคอมเมนต์ยอดเยี่ยมของ adameasterling ในอีกเธรดหนึ่งเกี่ยวกับ การโจมตีแบบ credential stuffing [1]
    เนื้อหาคือ “Troy Hunt เป็นคนที่มีคุณค่าจริง ๆ ถ้าคุณเป็นนักพัฒนาเว็บแอปพลิเคชัน ก็ไม่มีข้ออ้างที่จะไม่ป้องกันการโจมตีแบบ credential stuffing การป้องกันที่ดีที่สุดอาจเป็นการยืนยันตัวตนสองขั้นตอน แต่การตรวจเทียบกับฐานข้อมูลรหัสผ่านแบบแฮชของ Hunt ก็ยอดเยี่ยมมาก และไม่ต้องให้ผู้ใช้ทำอะไรเพิ่ม”
    คอมเมนต์นั้นเป็นโพสต์เมื่อ 60 วันก่อน แต่ยก 23andMe [2] เป็นตัวอย่าง และเหตุการณ์นี้ก็ถูกกล่าวถึงในบทความ TechCrunch ด้วย
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • ถึงจุดนี้ ถ้าเป็นบริษัทที่รวบรวมข้อมูล ก็รู้สึกเหมือนว่าสักวันหนึ่งต้องถูกแฮ็กแน่
    ไม่ใช่คำถามว่า “จะเกิดขึ้นไหม” แต่เป็น จะเกิดขึ้นเมื่อไร

    • ถ้าไม่มีเหตุผลที่ดีมากพอ ควรมี บทลงโทษ ที่หนักพอเพื่อไม่ให้เว็บไซต์และแอปเก็บข้อมูลเกินกว่าอีเมลแอดเดรส
      การอยากส่งสื่อการตลาดไม่ใช่เหตุผลที่ดี
    • ถ้ารัฐบาลอยากได้ข้อมูลหรืออยากเปลี่ยนแปลงข้อมูล ก็ไม่จำเป็นต้องแฮ็กด้วยซ้ำ
    • ไม่ใช่ว่าการปกป้องตัวเองเป็นเรื่องยาก
      แต่เพราะโดยปกติการลงทุนด้านความปลอดภัยไม่ใช่ลำดับความสำคัญทางธุรกิจ
      สิ่งนี้เกิดขึ้นแบบนั้นทั้งกับผู้บริหาร และกับคนทำงานจริงผ่านการบังคับและแรงจูงใจ
      การแฮ็กครั้งใหญ่ส่วนใหญ่แบบนี้เกิดจากภัยคุกคามที่รู้จักกันดี ซึ่งการตรวจสอบทั่วไปด้วยเจตนาดีก็จับได้
  • “โชคดีที่ตอนนี้เรามีบริการเฝ้าระวังจีโนมให้แล้ว เพียงเดือนละ $79.99 คุณจะได้รับการแจ้งเตือนทุกครั้งที่มีคนพยายามเข้าถึงบันทึกพันธุกรรมของคุณ!” — 23andMe

  • “ถ้าไม่มีอะไรต้องปิดบัง แล้วจะกลัวอะไร?”
    ผมกลัว คนโง่ ที่อยู่ในตำแหน่งที่มีอำนาจ
    การจับคู่ DNA ในฐานะเทคนิคการไขคดีอาชญากรรมมีปัญหามากมาตั้งแต่แรกแล้ว
    “หลักฐาน DNA ไม่ได้น่าเชื่อถือเท่าที่หลายคนเชื่อ”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “คำสัญญาลวงของการตรวจ DNA”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “หลักฐาน DNA ทางนิติวิทยาศาสตร์สามารถนำไปสู่การตัดสินผิดได้อย่างไร”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/