23andMe ยืนยันว่าแฮ็กเกอร์ขโมยข้อมูลเชื้อสายของผู้ใช้ 6.9 ล้านราย

 (techcrunch.com)
1 คะแนน โดย GN⁺ 2023-12-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

เหตุการณ์แฮ็ก 23andMe: ยืนยันการขโมยข้อมูลเชื้อสายของผู้ใช้ 6.9 ล้านคน

  • บริษัทตรวจพันธุกรรม 23andMe ประกาศว่าแฮ็กเกอร์ได้เข้าถึงข้อมูลส่วนบุคคลของลูกค้า โดยเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ราว 14,000 ราย และไฟล์จำนวนมากที่มีข้อมูลโปรไฟล์เกี่ยวกับเชื้อสายของผู้ใช้อื่น ๆ
  • แฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ประมาณ 5.5 ล้านรายที่ยินยอมใช้ฟีเจอร์ DNA Relatives ของ 23andMe โดยข้อมูลที่ถูกขโมยมีชื่อ ปีเกิด ป้ายระบุความสัมพันธ์กับญาติ สัดส่วน DNA ที่แชร์กับญาติ รายงานเชื้อสาย และตำแหน่งที่ผู้ใช้รายงานเอง
  • นอกจากนี้ ผู้ใช้ราว 1.4 ล้านรายที่ยินยอมใช้ฟีเจอร์ DNA Relatives ก็ถูกเข้าถึงข้อมูลโปรไฟล์ family tree ด้วย ซึ่งรวมถึงชื่อที่แสดง ป้ายระบุความสัมพันธ์กับญาติ ปีเกิด ตำแหน่งที่ผู้ใช้รายงานเอง และการตั้งค่าว่าแบ่งปันข้อมูลหรือไม่

การโฆษณาข้อมูลรั่วไหลบนฟอรัมของแฮ็กเกอร์

  • ต้นเดือนตุลาคม แฮ็กเกอร์รายหนึ่งอ้างบนฟอรัมแฮ็กชื่อดังว่าขโมยข้อมูล DNA ของผู้ใช้ 23andMe มาได้ พร้อมเผยแพร่ข้อมูลของผู้มีเชื้อสายยิวอัชเคนาซี 1 ล้านรายและผู้ใช้ชาวจีน 100,000 ราย และเรียกราคาข้อมูลบัญชีรายบุคคลที่ 1 ถึง 10 ดอลลาร์
  • หลังจากนั้น แฮ็กเกอร์คนเดิมได้ลงประกาศขายข้อมูลเพิ่มอีก 4 ล้านระเบียนบนฟอรัมเดียวกัน และ TechCrunch พบว่าแฮ็กเกอร์อีกรายได้ประกาศขายข้อมูลลูกค้า 23andMe ที่ถูกขโมยบนฟอรัมแฮ็กอีกแห่งตั้งแต่สองเดือนก่อนแล้ว
  • ข้อมูลที่รั่วไหลเมื่อหลายเดือนก่อนซึ่ง TechCrunch วิเคราะห์ มีบางส่วนตรงกับบันทึกของผู้ที่โพสต์ข้อมูลพันธุกรรมของตนเองทางออนไลน์เป็นงานอดิเรก จึงบ่งชี้ว่าข้อมูลที่แฮ็กเกอร์ปล่อยออกมา อย่างน้อยบางส่วน เป็นข้อมูลลูกค้า 23andMe จริง

ข้อมูลรั่วไหลจากการใช้รหัสผ่านซ้ำ

  • 23andMe ระบุในการเปิดเผยเหตุการณ์เมื่อเดือนตุลาคมว่า การรั่วไหลของข้อมูลเกิดจากลูกค้าใช้รหัสผ่านซ้ำ
  • แฮ็กเกอร์สามารถใช้รหัสผ่านที่หลุดมาจากเหตุข้อมูลรั่วไหลของบริษัทอื่น มาทำ brute-force โจมตีบัญชีของเหยื่อได้
  • เนื่องจากฟีเจอร์ DNA Relatives จับคู่ผู้ใช้กับญาติของตนเอง เมื่อบัญชีของคนหนึ่งถูกแฮ็ก ก็อาจเห็นข้อมูลส่วนบุคคลไม่เพียงของเจ้าของบัญชี แต่รวมถึงญาติของพวกเขาด้วย ทำให้จำนวนผู้ได้รับผลกระทบเพิ่มขึ้น

ความเห็นของ GN⁺

ประเด็นสำคัญที่สุดของบทความนี้คือ 23andMe ซึ่งเป็นบริการตรวจพันธุกรรม ได้เผชิญเหตุข้อมูลรั่วไหลครั้งใหญ่ เหตุการณ์นี้เผยให้เห็นว่าข้อมูลเชื้อสายของผู้ใช้ราว 6.9 ล้านรายถูกแฮ็กเกอร์ขโมยไป ซึ่งคิดเป็นเกือบครึ่งหนึ่งของลูกค้า 23andMe ทั้งหมด การรั่วไหลเกิดจากการใช้รหัสผ่านซ้ำ ซึ่งย้ำเตือนถึงความสำคัญของความปลอดภัยออนไลน์อีกครั้ง เหตุผลที่บทความนี้น่าสนใจคือมันแสดงให้เห็นว่าข้อมูลพันธุกรรมส่วนบุคคลมีความอ่อนไหวเพียงใด และข้อมูลเหล่านี้อาจตกไปอยู่ในมือที่ไม่เหมาะสมได้อย่างไร สิ่งนี้อาจเป็นโอกาสในการเพิ่มการรับรู้ของสาธารณะเกี่ยวกับความเป็นส่วนตัวของข้อมูลและความมั่นคงปลอดภัยไซเบอร์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-12-06
ความคิดเห็นจาก Hacker News

  • ความสำคัญของความเป็นส่วนตัวของข้อมูล

    • ชี้ให้เห็นว่าการที่ญาติใช้บริการอย่าง 23andMe และแชร์ข้อมูลจีโนม ส่งผลต่อการเปิดเผยข้อมูลของตัวเองด้วย
    • หวังว่าการเก็บข้อมูลพฤติกรรมจะถูกมองว่าอาจส่งผลต่อคนอื่นที่มีภูมิหลังร่วมกันได้เช่นกัน

  • ปัญหาการอัปเดตข้อกำหนดการใช้งานของ 23andMe

    • การอัปเดตข้อกำหนดการใช้งานที่ประกาศในช่วง Thanksgiving ระบุการห้ามฟ้องร้องแบบกลุ่ม กำหนดกระบวนการไม่เป็นทางการ 60 วันก่อนดำเนินคดี และบังคับให้ใช้อนุญาโตตุลาการที่มีผลผูกพัน
    • ดูเหมือนว่าทนายของ 23andMe เป็นผู้ร่างขึ้นเพื่อให้ลูกค้าแทบไม่เหลือสิทธิทางกฎหมายเลย

  • คำถามต่ออนาคตของความเป็นส่วนตัวของข้อมูล

    • อัลกอริทึม machine learning กำลังพัฒนาไปในทิศทางที่สามารถระบุตัวบุคคลได้จากเพียงลักษณะการเดิน และถอดรหัสข้อความได้จากแค่เสียงแป้นพิมพ์
    • สะท้อนว่าการรักษาความเป็นส่วนตัวในระดับที่สมเหตุสมผลในปัจจุบันจะยากขึ้น เมื่อใช้ข้อมูลสาธารณะและอัลกอริทึมที่ก้าวหน้าขึ้น

  • ประสบการณ์การถูกขอให้เข้าร่วมโครงการวิเคราะห์ DNA ของโรงพยาบาล

    • โรงพยาบาลเสนอว่าจะใช้ตัวอย่างเลือดที่เก็บไว้ก่อนหน้านี้มาวิเคราะห์ DNA
    • เป็นตัวอย่างที่แสดงให้เห็นว่ากฎหมายคุ้มครองความเป็นส่วนตัวในสหรัฐฯ แทบไม่มีอยู่จริง ขณะที่ในยุโรปไม่สามารถเก็บตัวอย่างไว้ได้หากไม่ได้รับความยินยอม

  • ข้อสงสัยเกี่ยวกับเหตุข้อมูลรั่วไหลของ 23andMe

    • มีบัญชี 14,000 บัญชีรั่วไหลในครั้งเดียว และแฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของ 6.9 ล้านคนผ่านฟีเจอร์ 'DNA Relatives'
    • หมายความว่าแต่ละบัญชีมีข้อมูลญาติที่ไม่ซ้ำกันเฉลี่ย 492 คน

  • ความไม่มั่นใจส่วนตัวต่อการใช้บริการ 23andMe

    • ไม่คิดจะใช้บริการนี้ เพราะกังวลว่ารัฐบาลจะนำข้อมูลนั้นไปใช้อย่างไร มากกว่าจะกังวลเรื่องแฮ็กเกอร์

  • ลิงก์ข่าวล่าสุดที่เกี่ยวข้องกับ 23andMe

    • ให้ลิงก์ข่าวเกี่ยวกับเหตุข้อมูลรั่วไหลและการแฮ็กของ 23andMe ที่เกิดขึ้นในเดือนธันวาคมและตุลาคม 2023

  • การพูดคุยเกี่ยวกับ credential stuffing

    • เน้นว่านักพัฒนาเว็บแอปพลิเคชันควรมีมาตรการป้องกัน credential stuffing
    • กล่าวถึงการใช้ฐานข้อมูลรหัสผ่านแบบแฮชของ Troy Hunt ว่าเป็นแนวทางป้องกันที่ดี

  • ความเป็นไปได้ที่บริษัทเก็บข้อมูลจะถูกแฮ็ก

    • แสดงความเห็นว่าทุกบริษัทที่เก็บข้อมูล สุดท้ายแล้วจะต้องถูกแฮ็ก

  • ความเป็นไปได้ของการฟ้องร้องแบบกลุ่มโดยผู้ที่ไม่ได้ใช้ 23andMe

    • ตั้งคำถามว่าหากญาติใช้ 23andMe คนที่ไม่ได้ใช้บริการเองจะยังสามารถอ้างสิทธิด้านความเป็นส่วนตัวได้หรือไม่