23andMe ยืนยันว่าแฮ็กเกอร์ขโมยข้อมูลบรรพบุรุษของผู้ใช้ 6.9 ล้านราย
(techcrunch.com)- ในตอนแรกมีรายงานว่าบัญชีที่ถูกเจาะโดยตรงมีราว 14,000 บัญชี แต่ผ่านเครือข่าย DNA Relatives ทำให้ขอบเขตความเสียหายขยายเป็น 6.9 ล้านราย
- ผู้ใช้ที่ opt-in ราว 5.5 ล้านราย มีข้อมูลที่ถูกเปิดเผย ได้แก่ ชื่อ ปีเกิด ป้ายความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้ระบุเอง
- อีกประมาณ 1.4 ล้านราย ถูกเข้าถึงข้อมูลโปรไฟล์ Family Tree ซึ่งรวมถึงชื่อที่แสดง ป้ายความสัมพันธ์ ตำแหน่ง และสถานะการเลือกแชร์ข้อมูล
- 23andMe ระบุว่าการ ใช้รหัสผ่านซ้ำ ของลูกค้า ทำให้สามารถเข้าถึงบัญชีได้ด้วยรหัสผ่านที่รั่วไหลจากบริการอื่น
- เมื่อบัญชีหนึ่งถูกเจาะ ก็อาจนำไปสู่การเปิดเผยข้อมูลของญาติที่เชื่อมโยงกัน ทำให้ความเสียหายครอบคลุมเกือบครึ่งหนึ่งของลูกค้าทั้งหมด 14 ล้านรายที่ 23andMe รายงานไว้
การรั่วไหลข้อมูลของ 23andMe ขยายเป็น 6.9 ล้านราย
- เมื่อวันศุกร์ 23andMe ประกาศว่าแฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าราว 0.1% หรือประมาณ 14,000 ราย
- ในเวลานั้น บริษัทระบุว่าผ่านบัญชีเหล่านี้ยังสามารถเข้าถึงไฟล์ “จำนวนมาก” ที่มีข้อมูลบรรพบุรุษของผู้ใช้อื่นได้ แต่ไม่ได้เปิดเผยจำนวนของ “ผู้ใช้อื่น” ที่ได้รับผลกระทบ
- ต่อมาโฆษกของ 23andMe ยืนยันว่าจำนวนผู้ได้รับผลกระทบทั้งหมดอยู่ที่ 6.9 ล้านราย
- ตัวเลขนี้คิดเป็นเกือบครึ่งหนึ่งของลูกค้าทั้งหมด 14 ล้านราย ที่ 23andMe รายงานไว้
ข้อมูลที่ถูกเปิดเผยใน DNA Relatives และ Family Tree
- ประมาณ 5.5 ล้านราย เป็นผู้ใช้ที่ opt-in เข้าฟีเจอร์ DNA Relatives ของ 23andMe
- ฟีเจอร์นี้ช่วยให้ลูกค้าสามารถแชร์ข้อมูลบางส่วนกับผู้ใช้อื่นโดยอัตโนมัติ
- ข้อมูลที่แฮ็กเกอร์เข้าถึงได้ประกอบด้วย ชื่อ ปีเกิด ป้ายความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้ระบุเอง
- ผู้ใช้ที่ opt-in กับ DNA Relatives อีกประมาณ 1.4 ล้านราย ถูกเข้าถึงข้อมูลโปรไฟล์ Family Tree
- ข้อมูลที่รวมอยู่ได้แก่ ชื่อที่แสดง ป้ายความสัมพันธ์ ปีเกิด ตำแหน่งที่ผู้ใช้ระบุเอง และสถานะว่าผู้ใช้เลือกแชร์ข้อมูลหรือไม่
- เนื่องจาก DNA Relatives มีโครงสร้างที่จับคู่ผู้ใช้กับญาติ หากบัญชีหนึ่งถูกแฮ็ก ก็อาจทำให้ข้อมูลส่วนบุคคลไม่เพียงของเจ้าของบัญชี แต่รวมถึงญาติที่เชื่อมโยงกันถูกเปิดเผยด้วย
- โครงสร้างการเชื่อมโยงนี้ทำให้ขอบเขตความเสียหายกว้างกว่าจำนวนบัญชีที่ถูกเจาะโดยตรงอย่างมาก
โพสต์ในฟอรัมแฮ็กและเบาะแสความแท้ของข้อมูล
- ต้นเดือนตุลาคม แฮ็กเกอร์รายหนึ่งอ้างในฟอรัมแฮ็กชื่อดังว่าขโมย ข้อมูล DNA ของผู้ใช้ 23andMe มาได้
- เพื่อเป็นหลักฐานของการเจาะ เขาเผยแพร่ข้อมูลที่อ้างว่าเป็นของผู้ใช้เชื้อสายยิวอัชเคนาซี 1 ล้านราย และผู้ใช้ชาวจีน 100,000 ราย
- แฮ็กเกอร์รายดังกล่าวเสนอขายข้อมูลในราคา 1 ถึง 10 ดอลลาร์ ต่อบัญชี
- สองสัปดาห์ต่อมา แฮ็กเกอร์คนเดิมโฆษณาข้อมูลเพิ่มเติมในฟอรัมเดียวกัน โดยอ้างว่าเป็นบันทึกอีก 4 ล้านรายการ
- ยังพบด้วยว่าในอีกฟอรัมแฮ็กหนึ่ง มีร่องรอยว่าชุดข้อมูลที่อ้างว่าเป็นของลูกค้า 23andMe ถูกนำไปโฆษณาไว้แล้วก่อนประกาศที่เป็นที่รู้จักอย่างกว้างขวางถึงสองเดือน
- เมื่อนำข้อมูลที่รั่วไหลเมื่อหลายเดือนก่อนมาวิเคราะห์ พบว่าบางระเบียนตรงกับข้อมูลพันธุกรรมที่นักวิจัยสมัครเล่นและนักลำดับวงศ์ตระกูลเผยแพร่ไว้บนออนไลน์
- แม้ชุดข้อมูลทั้งสองจะมีรูปแบบต่างกัน แต่มีข้อมูลผู้ใช้เฉพาะบางส่วนและข้อมูลทั่วไปที่ตรงกัน
- ด้วยเหตุนี้ ข้อมูลที่แฮ็กเกอร์ปล่อยออกมาอย่างน้อยบางส่วนจึงมีความเป็นไปได้ว่าเป็น ข้อมูลลูกค้า 23andMe จริง
สาเหตุของการเจาะตามที่ 23andMe ระบุ
- ในการเปิดเผยเหตุการณ์เจาะระบบเมื่อเดือนตุลาคม 23andMe ชี้ว่าเกิดจากการ ใช้รหัสผ่านซ้ำ ของลูกค้า
- แฮ็กเกอร์สามารถใช้รหัสผ่านที่ถูกเปิดเผยจากเหตุข้อมูลรั่วไหลของบริษัทอื่น มาลองเข้าสู่บัญชีของเหยื่อแบบเดาสุ่มจำนวนมากได้
- เมื่อเข้าถึงบัญชีหนึ่งได้แล้ว ก็สามารถใช้เครือข่ายการเชื่อมโยงของ DNA Relatives เพื่อเข้าถึงข้อมูลของผู้ใช้อื่นต่อ ทำให้ขอบเขตความเสียหายขยายวงอย่างมาก
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เหตุการณ์นี้เป็นตัวอย่างโต้แย้งที่สมบูรณ์แบบต่อคำพูดทำนองว่า “ทำไมต้องใส่ใจเรื่องความเป็นส่วนตัวขนาดนั้น? ต่อให้ฉันแชร์ ก็ไม่ได้กระทบเธอ ถ้าไม่ชอบก็ไม่ต้องทำสิ”
ถ้าญาติอัปโหลดข้อมูลจีโนมไปยัง 23andMe ข้อมูลเกี่ยวกับตัวฉันก็ถูกเปิดเผยไปด้วย ไม่ว่าฉันจะเลือกอย่างไรก็ตาม
หวังว่าผู้คนจะตระหนักว่าสิ่งเดียวกันนี้ใช้ได้กับกรณีการเก็บรวบรวมข้อมูลพฤติกรรมของคนที่มีภูมิหลังร่วมกันด้วย
คำพูดที่พบบ่อยกว่าคือแค่ “ทำไมต้องใส่ใจเรื่องความเป็นส่วนตัวขนาดนั้น?” และหลายคนก็ไม่เข้าใจตั้งแต่แรกว่าทำไมความเป็นส่วนตัวถึงสำคัญ
เหตุการณ์นี้ก็คงยากจะเป็นการโต้แย้งที่หนักแน่นกว่าการรั่วไหลครั้งอื่น ๆ จนกว่าจะได้แสดงให้เห็นความเสียหายจริง
สงสัยว่าคิดว่าจะเกิดอะไรขึ้นจริง ๆ กับคนที่ข้อมูลเกี่ยวกับบรรพบุรุษถูกขโมยไปครั้งนี้
23andMe อย่างน้อยลูกค้ายังตัดสินใจได้ว่าจะใช้บริการหรือไม่ และชั่งน้ำหนักข้อดีข้อเสียได้ แต่ Equifax บังคับให้เราเข้าไปอยู่ในระบบประเมินที่ส่งผลตั้งแต่การขอกู้ไปจนถึงการสมัครงาน และดูดข้อมูลที่บุคคลที่สามขายมาเก็บเป็นข้อมูลส่วนตัวของเรา
หลังข้อมูลรั่วก็ไม่มีการเยียวยาที่ได้ผล และทั้งที่มีโอกาสถูกขโมยตัวตนสูงมาก ก็ให้เพียง ‘การมอนิเตอร์เครดิต’ แบบพอเป็นพิธี แทนที่จะยอมรับความผิด
สุดท้ายบริษัทจัดอันดับเครดิตที่สร้างปัญหาขึ้นมาก็แชร์และเผยแพร่ข้อมูลโดยไม่ได้รับความยินยอม แต่กลับไม่ต้องรับผิดชอบอะไรเลย
มองว่านี่เป็นตรรกะที่ไม่รู้เท่าทันและทำลายตัวเอง ซึ่งทำให้แม้แต่คนอื่นต้องตกอยู่ในสภาพที่แย่ลง เพราะความประมาทที่มองความเป็นส่วนตัวเป็นเรื่องเล็กน้อย
นึกโมเดลความเป็นส่วนตัวที่จะห้ามคนอื่นแชร์ข้อมูลของตัวเอง เพียงเพราะข้อมูลบางส่วนทับซ้อนกับฉัน ไม่ค่อยออก
สิ่งที่รั่วไหลดูจะใกล้เคียงกับข้อมูลลำดับวงศ์ตระกูลและญาติพี่น้องมากกว่า
ว่ากันว่าข้อมูลที่ถูกขโมยมีชื่อ ปีเกิด ป้ายกำกับความสัมพันธ์ สัดส่วน DNA ที่แชร์กับญาติ รายงานบรรพบุรุษ และตำแหน่งที่ผู้ใช้รายงานเอง
คล้าย ๆ กันคือถามว่า “คุณมีรายได้เท่าไหร่?”, “ฉันอ่านจดหมายของคุณได้ไหม?”, “ฉันเอากุญแจบ้านคุณไปได้ไหม?”
มีคนที่เข้าใจแนวคิดนามธรรมได้ยาก แต่พอโยงกลับมาเป็นโลกทางกายภาพ ทุกคนจะเข้าใจความไม่สบายใจได้ทันที
สงสัยว่ามันเกี่ยวข้องกับการเปลี่ยนแปลงเงื่อนไขการใช้งานที่ส่งออกไปในวันขอบคุณพระเจ้า ซึ่งเป็นเวลาที่เหมาะมากจะถูกกลบอยู่ในอินบ็อกซ์ของทุกคนแค่ไหน
การเปลี่ยนแปลงนี้พยายามห้ามการฟ้องแบบกลุ่ม กำหนดให้ต้องผ่านกระบวนการ “ไม่เป็นทางการ” 60 วันก่อนดำเนินการทางกฎหมาย และผลักให้เข้าสู่อนุญาโตตุลาการที่มีผลผูกพัน
ตามข้อกำหนดที่ทนายของ 23andMe ร่างขึ้น ในฐานะลูกค้าแทบไม่มีสิทธิทางกฎหมายที่แท้จริงเหลืออยู่เลย
อย่างน้อยในเยอรมนี สัญญาที่เอื้อประโยชน์ให้ฝ่ายหนึ่งมากเกินไปจะเป็นโมฆะเมื่อขึ้นศาล
ไม่ค่อยแน่ใจว่าผลลัพธ์จะเป็นอย่างไร
“เราขอแนะนำให้คุณอ่านเงื่อนไขใหม่ทั้งหมด หากคุณไม่ยอมรับเงื่อนไข โปรดแจ้งให้เราทราบภายใน 30 วันนับจากวันที่ได้รับอีเมลนี้ จากนั้นข้อกำหนดการใช้บริการเดิมจะยังคงมีผลบังคับใช้ต่อไป หากคุณไม่แจ้งภายใน 30 วัน จะถือว่าคุณยอมรับเงื่อนไขใหม่”
อีเมลสำหรับแจ้ง: legal@23andme.com
สงสัยว่าต่อไปจะยังมีใครคิดว่าความเป็นส่วนตัวในความหมายที่ใช้งานได้จริงยังคงรักษาไว้ได้หรือไม่
อัลกอริทึมแมชชีนเลิร์นนิงกำลังเรียนรู้วิธี ระบุตัวบุคคลจากแค่ท่าเดิน โดยไม่ต้องใช้การจดจำใบหน้า และยังมุ่งไปถึงการถอดรหัสข้อความที่พิมพ์จากเสียงกดแป้นคีย์บอร์ดเพียงอย่างเดียวด้วย
ถ้ามีเบาะแสโดยรวมจากข้อมูลสาธารณะทั้งหมด และมีอัลกอริทึมที่พัฒนาไปไกลพอ จะยังมีวิธีรักษาความเป็นส่วนตัวแบบที่วันนี้เราถือว่าสมเหตุสมผลได้ไหม โดยไม่ต้องใช้มาตรการสุดโต่งทุกอย่างแบบไม่มีตกหล่น?
ไม่ได้ตั้งใจจะตัดสินเชิงคุณค่า แค่หมายความว่าแนวโน้มที่กำลังเกิดขึ้นดูเป็นแบบนั้น
ถ้าอยู่เฉย ๆ พวกเขาก็ชนะ แต่ถ้าถกกันอย่างเปิดเผย อย่างน้อยก็ยังมีโอกาสสร้าง กลไกป้องกัน ได้
แน่นอน พูดตรง ๆ ก็คงพังหมดแล้ว และ EvilCorp ก็น่าจะชนะอยู่ดี บางทีเราอาจแค่เปลืองพลังไปกับการสู้ แล้วทำให้ตัวเองเสียสติ
การต่อต้านไร้ความหมาย
เพราะบริษัทอย่าง Fortinet พยายามทำ “คนเฝ้าประตูอัตโนมัติ” ที่ติดกล้องไว้ตรงทางเข้าอพาร์ตเมนต์หรือคอนโด แล้วสแกน·วิเคราะห์คนที่เดินผ่าน
แทบไม่เห็นจิตสำนึกด้านจริยธรรมจากใครที่เกี่ยวข้องเลย
สิ่งที่จำเป็นคือกฎหมายที่เข้มแข็งซึ่งบัญญัติสิทธิที่จะถูกลืมไว้อย่างชัดเจน
ไม่ได้มองว่าการทำให้การระบุตัวตนเป็นอัตโนมัตินั้นผิดโดยเนื้อแท้ แต่ความพยายามของบริษัทต่าง ๆ ที่จะระบุตัวมนุษย์ทุกคนเท่าที่ทำได้โดยไม่ได้รับความยินยอมนั้นผิดอย่างมาก
คำตอบของคำถามว่า “ทำไมถึงอยากซ่อนข้อมูลนี้” ท้ายที่สุดก็มักลงเอยที่ความกลัวว่า “[บุคคลหรือกลุ่มบางกลุ่ม] อาจใช้ [ข้อมูลส่วนตัว] เพื่อสร้าง [ผลลัพธ์ที่เลวร้าย] ให้กับฉัน”
สิ่งที่ผู้คนใส่ใจจริง ๆ ไม่ใช่ตัวข้อมูลเอง แต่เป็นความเสี่ยงของผลลัพธ์ที่เลวร้าย
ถ้าแนวโน้มนี้ถูกต้อง จุดโฟกัสควรอยู่ที่การป้องกัน ความไม่สมดุลของอำนาจแบบอสมมาตร ในธุรกรรมทางสังคมที่ทำให้เกิดผลลัพธ์เลวร้ายเหล่านั้นได้
เมื่อก่อนแค่คิดว่าเอกสารลับอาจรั่วก็แทบคลั่งแล้ว แต่พอเห็นว่าข้อมูลส่วนบุคคลถูกจัดการเละเทะแค่ไหน ก็รู้ว่ามันแทบจะเป็นเรื่องที่รับประกันได้
แม้ในออสเตรเลียที่มีกฎหมายความเป็นส่วนตัวค่อนข้างดี การแฮ็กครั้งใหญ่ของ Optus ก็ทำให้ข้อมูลบัตรเครดิตของประชากรเกือบครึ่งประเทศถูกขโมย และการแฮ็ก Medibank ก็ทำให้ข้อมูลของลูกค้าประกันสุขภาพเอกชนจำนวนมากหลุด
ตอนยื่นขอสินเชื่อบ้าน จึงได้รู้ว่าแม้แต่นายหน้าสินเชื่อที่อยู่อาศัยรายเล็ก ๆ ในย่านต่าง ๆ ก็ได้รับเอกสารยืนยันตัวตนที่อ่อนไหวทางอีเมลปีละหลายร้อยถึงหลายพันฉบับ และไม่ลบทิ้งหลังธุรกรรมจบ
บริษัทจำนวนมากในออสเตรเลียยืนยันตัวตนด้วยแค่ชื่อ ที่อยู่ และวันเกิด ซึ่งโดยทั่วไปค้นหา 5 นาทีก็เจอได้ง่าย ๆ
เคยตั้ง PIN ในบัญชี Telstra ไว้หลายปีเพื่อกันไม่ให้มีการเปลี่ยนแปลงการจัดการบัญชี แต่วันหนึ่งโทรไป เขากลับดำเนินการให้เฉย ๆ โดยไม่ถามรหัสผ่านเลย
ถ้าจะให้ความเป็นส่วนตัวได้รับการเคารพจริง ๆ คงมีทางเดียวคือให้ บริษัท ซึ่งเป็นผู้เสียหายที่แท้จริง ต้องรับผิดชอบต่อการฉ้อโกง
มุกเก่า ๆ ที่ว่า “ตัวตนถูกขโมย” จริง ๆ แล้วไม่ใช่ตัวตนถูกขโมย แต่เป็นกระบวนการยืนยันตัวตนของบริษัทที่ล้มเหลว แล้วโยนความรับผิดชอบเพื่อเลี่ยงการรับภาระความเสียหาย
ดังนั้นทุกวันนี้จึงใช้แต่บัตรเครดิต
เพราะถ้ามีการใช้งานโดยทุจริต ก็ทำ chargeback ได้ และแทบเป็นกลไกเดียวที่ป้องกันการเข้าถึงเงินของตัวเองโดยไม่ได้รับอนุญาตได้จริง
ช่วงหลังมีเรื่องที่ค่อนข้างชวนขนลุกเกิดขึ้น
โรงพยาบาลที่ไปเมื่อไม่กี่เดือนก่อนโทรมาขอให้เข้าร่วม โปรแกรมวิเคราะห์ DNA
เขาบอกว่า “ข้อดีที่สุดคือคุณไม่ต้องทำอะไรเลยครับ/ค่ะ เราใช้ตัวอย่างเลือดที่เก็บไปครั้งก่อนได้เลย”
แน่นอนว่าปฏิเสธไป แต่สิ่งที่รับไม่ได้คือพวกเขาเก็บตัวอย่างชีวภาพที่เชื่อมโยงกับตัวฉันไว้โดยไม่แจ้ง และยังสามารถมาวิเคราะห์ DNA ย้อนหลังได้ด้วย
รู้สึกเหมือนเป็นหลักฐานว่ากฎหมายความเป็นส่วนตัวของสหรัฐฯ แทบไม่มีอยู่จริง
ใน EU ไม่สามารถแช่แข็งเก็บตัวอย่างไว้โดยไม่ได้รับความยินยอม และแม้แต่ตัวอย่างที่ไม่ได้แช่แข็งก็อนุญาตให้เก็บได้แค่ไม่กี่วันเท่านั้น
บทความวิกิเป็นภาษาสวีเดนเท่านั้น
ตามที่คาดได้ หรืออาจเรียกว่าน่าสนใจ ตำรวจไม่สามารถเข้าถึงข้อมูลนี้ได้ จนกระทั่งหลังรัฐมนตรีของรัฐบาลถูกฆาตกรรมในปี 2003 จึงได้ตัวอย่างของผู้ต้องสงสัยมา
เท่าที่ทราบ หลังจากนั้นก็ไม่เคยถูกใช้อีก
จะมองแบบเย้ยหยันก็ได้ แต่จนถึงตอนนี้ การใช้ทะเบียนนี้โดยตำรวจยังไม่ได้กลายเป็นเรื่องปกติ และยังอยู่ภายใต้การควบคุมของศาล
แบบนี้ก็แปลว่ามีกฎหมายความเป็นส่วนตัวอยู่ไม่ใช่หรือ?
อาจเป็นแค่ขั้นตอนหนึ่งในกระบวนการจัดการผลตรวจหรือตัวอย่างเก่า ๆ ก็ได้
มีอะไรบางอย่างไม่สมเหตุสมผล
“23andMe ระบุว่าการรั่วไหลของข้อมูลเกิดจากการที่ลูกค้า ใช้รหัสผ่านซ้ำ” แต่ถ้าบัญชี 14,000 บัญชีถูกเจาะในคราวเดียว รหัสผ่านเหล่านั้นมาจากไหนกัน?
หรือมีการรั่วไหลอื่นที่เกี่ยวข้อง เช่น LastPass หรือเปล่า?
อีกอย่าง ถ้าแฮกเกอร์เข้าถึงข้อมูลส่วนบุคคลของคน 6.9 ล้านคนผ่านฟีเจอร์ “DNA Relatives” ก็แปลว่าบัญชี 14,000 บัญชีที่ถูกเจาะเดิมแต่ละบัญชีมีญาติที่ไม่ซ้ำกันราว 492 คน
ผมพลาดอะไรไปหรือเปล่า?
ผู้โจมตีอาจใช้เครือข่ายกระจายขนาดใหญ่เพื่อกวาดข้อมูล แต่เป็นไปได้สูงว่าตั้งแต่แรกไม่มีการตรวจจับหรือการป้องกัน
อย่างไรก็ตาม พอผมล็อกอินเพื่อดูจำนวนญาติในบัญชีของตัวเอง 23andMe กลับบล็อกการล็อกอินและบังคับให้รีเซ็ตรหัสผ่าน โดยอ้างเหตุผลเรื่องการใช้รหัสผ่านซ้ำ
บัญชีนี้ผมใช้รหัสผ่านที่แข็งแรงมากเสมอ ไม่เคยนำไปใช้ซ้ำที่ไหน และยังเปิด การยืนยันตัวตนสองขั้นตอน ไว้ด้วย
ดูเหมือนบริษัทเองก็ไม่ได้สบายใจกับคำอธิบายว่าสาเหตุมาจากรหัสผ่านที่ถูกใช้ซ้ำทั้งหมดนัก
หลังจากรีเซ็ตรหัสผ่านที่ไม่เคยใช้ซ้ำแล้วไปตรวจดู แผง DNA relatives มี 60 หน้า แต่ละหน้าแสดง 25 คน รวมแล้วสามารถดึงรายชื่อญาติได้ 1,500 คน
ถ้ากวาดข้อมูลแบบนี้จากบัญชีสุ่ม 14,000 บัญชี ก็สร้างเครือข่ายขนาดใหญ่ได้มาก
รายการขนาดใหญ่ที่รวบรวมรหัสผ่านรั่วไหลจากอดีตหลายครั้งมีให้หาได้สาธารณะ และเข้าถึงได้ง่ายไม่ใช่แค่สำหรับผู้โจมตี แต่สำหรับใครก็ได้
ในบรรดาผู้ใช้กว่า 14 ล้านคน เป็นไปได้อย่างสมเหตุสมผลที่ 14,000 คน หรือ 0.1% จะนำรหัสผ่านที่รั่วจากที่อื่นกลับมาใช้ซ้ำ
ยิ่งถ้าไม่ได้ตรวจจับและยกเลิกรหัสผ่านพวกนั้นโดยชัดเจน เหมือนที่คุยกันใน HN เมื่อวานเกี่ยวกับงานของ Troy Hunt ก็ยิ่งเป็นเช่นนั้น
ถ้าชื่อผู้ใช้กับรหัสผ่านรั่วจาก 23andMe นั่นไม่ใช่ปัญหาใช้รหัสผ่านซ้ำ แต่เป็นแค่การไปเจอรายการข้อมูลรับรองของ 23andMe แล้วนำมาถอดรหัส
การที่มีผู้ใช้ 23andMe 14,000 คนซ้ำอยู่ในรายการข้อมูลรั่วของเว็บไซต์อื่น หรือรายการที่รวมข้อมูลรั่วจากหลายเว็บเข้าด้วยกัน ไม่ใช่เรื่องน่าแปลกใจเลย
ลองค้นดูพบว่า 23andMe มีลูกค้า 14 ล้านคน และบัญชีที่รั่ว 14,000 บัญชีเท่ากับถูกเจาะ 1 ใน 1,000 บัญชี
ในรายชื่อญาติ DNA ของผมมีมากกว่า 1,500 คนเล็กน้อย
ถ้าแต่ละบัญชีมีโอกาสถูกแฮ็ก 1/1000 ความน่าจะเป็นที่ไม่มีญาติของผมคนใดถูกแฮ็กเลยคือ (1-1/1000)^1500 = 0.223
ความน่าจะเป็นที่มีญาติอย่างน้อยหนึ่งคนถูกแฮ็กจึงเป็น 0.777
ถ้าสมมติว่าผมเป็นคนค่าเฉลี่ย ก็คาดได้ว่าคนที่มีบัญชีที่ถูกแฮ็กเป็นญาติจะมีราว 10.8 ล้านคน ซึ่งดูใกล้พอกับตัวเลข 6.9 ล้านคน
ผมไม่เคยคิดจะใช้ 23andMe อย่างจริงจังเลย
ไม่ใช่เพราะแฮกเกอร์ แต่เพราะ รัฐบาลจะใช้ข้อมูลนั้นอย่างไร
ผมไม่อยากมีส่วนรับผิดชอบที่ทำให้ญาติสักคนซึ่งบังเอิญเกี่ยวข้องกันถูกกล่าวหาว่าก่ออาชญากรรม เพียงเพราะผมอยากรู้แผนผังตระกูล
ผมเข้าใจดีถึงความกังวลเรื่องความเป็นส่วนตัวและข้อมูลที่ระบุตัวบุคคลได้ แต่สำหรับผม มันคุ้มค่าแน่นอน เพราะช่วยให้เข้าใจว่าตัวเองเป็นใครมากขึ้น และได้พบญาติที่ต้อนรับผมอย่างอบอุ่นมาก
ท้ายที่สุดมันคือ การแลกเปลี่ยนข้อดีข้อเสีย
ถ้าทำการตรวจแล้วหลังจากส่งผลให้ผม บริษัททำลายข้อมูลการทดสอบและข้อมูลฝั่งบริษัท หรือถ้ามี ชุดตรวจที่บ้าน ซึ่งข้อมูลไม่ออกจากบ้านเลย ผมถึงจะลอง
ผมเข้าใจได้ยากว่าทำไมบริษัทเหล่านี้ต้องเก็บข้อมูลนี้ต่อไปเรื่อย ๆ
มันเป็นภาระความรับผิดชอบมหาศาล
ในกรณีนี้อาจเป็นเพราะฟีเจอร์ระบุความสัมพันธ์ทางเครือญาติ แต่ก็ยังน่าสงสัยว่าฟีเจอร์นั้นคุ้มกับความเสี่ยงหรือไม่
คดีที่ผมเห็นว่าเทคโนโลยีนี้ช่วยไขได้นั้น เป็นประเภทที่ถ้าสิ่งที่ผมทำช่วยหยุดคนที่ทำเรื่องเลวร้ายร้ายแรงได้ ผมก็ยินดีอย่างเต็มใจ
แค่ลองจินตนาการว่าถ้าพวกเขาได้ฐานข้อมูลพันธุกรรมมาไว้ในมือ พวกเขาจะทำอะไร
บังเอิญว่าเมื่อวานผมอ่านคอมเมนต์ยอดเยี่ยมของ adameasterling ในอีกเธรดหนึ่งเกี่ยวกับ การโจมตีแบบ credential stuffing [1]
เนื้อหาคือ “Troy Hunt เป็นคนที่มีคุณค่าจริง ๆ ถ้าคุณเป็นนักพัฒนาเว็บแอปพลิเคชัน ก็ไม่มีข้ออ้างที่จะไม่ป้องกันการโจมตีแบบ credential stuffing การป้องกันที่ดีที่สุดอาจเป็นการยืนยันตัวตนสองขั้นตอน แต่การตรวจเทียบกับฐานข้อมูลรหัสผ่านแบบแฮชของ Hunt ก็ยอดเยี่ยมมาก และไม่ต้องให้ผู้ใช้ทำอะไรเพิ่ม”
คอมเมนต์นั้นเป็นโพสต์เมื่อ 60 วันก่อน แต่ยก 23andMe [2] เป็นตัวอย่าง และเหตุการณ์นี้ก็ถูกกล่าวถึงในบทความ TechCrunch ด้วย
[1] https://news.ycombinator.com/item?id=38521106
[2] https://news.ycombinator.com/item?id=37794379
ถึงจุดนี้ ถ้าเป็นบริษัทที่รวบรวมข้อมูล ก็รู้สึกเหมือนว่าสักวันหนึ่งต้องถูกแฮ็กแน่
ไม่ใช่คำถามว่า “จะเกิดขึ้นไหม” แต่เป็น จะเกิดขึ้นเมื่อไร
การอยากส่งสื่อการตลาดไม่ใช่เหตุผลที่ดี
แต่เพราะโดยปกติการลงทุนด้านความปลอดภัยไม่ใช่ลำดับความสำคัญทางธุรกิจ
สิ่งนี้เกิดขึ้นแบบนั้นทั้งกับผู้บริหาร และกับคนทำงานจริงผ่านการบังคับและแรงจูงใจ
การแฮ็กครั้งใหญ่ส่วนใหญ่แบบนี้เกิดจากภัยคุกคามที่รู้จักกันดี ซึ่งการตรวจสอบทั่วไปด้วยเจตนาดีก็จับได้
“โชคดีที่ตอนนี้เรามีบริการเฝ้าระวังจีโนมให้แล้ว เพียงเดือนละ $79.99 คุณจะได้รับการแจ้งเตือนทุกครั้งที่มีคนพยายามเข้าถึงบันทึกพันธุกรรมของคุณ!” — 23andMe
“ถ้าไม่มีอะไรต้องปิดบัง แล้วจะกลัวอะไร?”
ผมกลัว คนโง่ ที่อยู่ในตำแหน่งที่มีอำนาจ
การจับคู่ DNA ในฐานะเทคนิคการไขคดีอาชญากรรมมีปัญหามากมาตั้งแต่แรกแล้ว
“หลักฐาน DNA ไม่ได้น่าเชื่อถือเท่าที่หลายคนเชื่อ”
https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
“คำสัญญาลวงของการตรวจ DNA”
https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
“หลักฐาน DNA ทางนิติวิทยาศาสตร์สามารถนำไปสู่การตัดสินผิดได้อย่างไร”
https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/