23andMe cho biết dữ liệu người dùng đã bị đánh cắp trong cuộc tấn công credential stuffing

 (bleepingcomputer.com)
1 điểm bởi GN⁺ 2023-10-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • 23andMe, công ty công nghệ sinh học và gen học của Mỹ, đã xác nhận xảy ra rò rỉ dữ liệu liên quan đến dữ liệu người dùng trên nền tảng của mình.
  • Công ty cho biết vụ rò rỉ dữ liệu bắt nguồn từ một cuộc tấn công credential stuffing.
  • Rò rỉ dữ liệu ban đầu ở mức hạn chế, và tác nhân đe dọa đã công khai 1 triệu dòng dữ liệu về người Ashkenazi.
  • Sau đó, tác nhân đe dọa đề nghị bán hàng loạt hồ sơ dữ liệu với giá từ 1 đến 10 USD cho mỗi tài khoản 23andMe.
  • Dữ liệu bị lộ bao gồm họ tên đầy đủ, tên người dùng, ảnh hồ sơ, giới tính, ngày sinh, kết quả tổ tiên di truyền và vị trí địa lý.
  • Các tài khoản bị xâm phạm đã tham gia tính năng 'DNA Relatives' của nền tảng, cho phép người dùng tìm kiếm và kết nối với họ hàng di truyền của mình.
  • Sau khi truy cập được vào một số ít tài khoản 23andMe, tác nhân đe dọa đã thu thập dữ liệu khớp họ hàng DNA của họ.
  • 23andMe cho biết thông tin đăng nhập được sử dụng trong các lần truy cập này có thể đã bị tác nhân đe dọa thu thập từ các vụ rò rỉ dữ liệu trên những nền tảng trực tuyến khác, nơi người dùng tái sử dụng cùng thông tin đăng nhập.
  • Công ty cung cấp xác thực hai yếu tố như một biện pháp bảo vệ tài khoản bổ sung và khuyến nghị mọi người dùng kích hoạt tính năng này.
  • Người dùng được khuyên không nên tái sử dụng mật khẩu và nên nhất quán sử dụng thông tin đăng nhập mạnh, riêng biệt cho mọi tài khoản trực tuyến.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-08
Ý kiến trên Hacker News
  • Vụ đánh cắp dữ liệu người dùng tại 23andMe được cho là do một cuộc tấn công credential stuffing, trong đó các cơ sở dữ liệu email/mật khẩu bị rò rỉ trước đó đã được dùng để truy cập trang web.
  • Vấn đề xảy ra vì mọi người tái sử dụng mật khẩu và không bật xác thực hai yếu tố.
  • Dữ liệu được rao bán bao gồm email/mật khẩu từ các vụ xâm phạm khác từng hoạt động trên 23andMe, cùng với dữ liệu mà 23andMe nắm giữ về những người dùng đó.
  • Sự việc này làm dấy lên lo ngại về "quyền hạn lan truyền" hoặc "quyền hạn mạng lưới", tức là khi cấp quyền truy cập cho một người thì cũng có thể dẫn đến quyền truy cập vào những người khác.
  • Một số người dùng đang tránh xét nghiệm di truyền vì các lo ngại bảo mật này.
  • Có suy đoán rằng các hacker đã truy cập toàn bộ dữ liệu, nhưng chỉ làm rò rỉ 1,3 triệu hồ sơ người Do Thái Ashkenazi.
  • Một số người dùng tin rằng các vụ xâm phạm như vậy sẽ tiếp tục xảy ra cho đến khi có trách nhiệm hình sự đối với sự cẩu thả trong việc lưu trữ/bảo vệ dữ liệu.
  • Việc 23andMe hợp tác với cơ quan thực thi pháp luật và khả năng nhận diện cá nhân dựa trên mẫu DNA của anh/chị/em họ đời thứ ba làm dấy lên lo ngại về quyền riêng tư.
  • Việc công ty xét nghiệm di truyền 1Health.io chỉ bị FTC phạt 75.000 USD vì không bảo vệ được dữ liệu nhạy cảm được xem là bằng chứng cho thấy chính phủ không thực sự coi trọng quyền riêng tư.
  • Có báo cáo rằng một số dịch vụ phả hệ yêu cầu người dùng cung cấp thông tin đăng nhập 23andMe của họ, cho thấy an ninh trong lĩnh vực này còn yếu.
  • Sự việc này đã làm dấy lên chỉ trích về việc mọi người đặt niềm tin vào các công ty tư nhân để lưu giữ thông tin di truyền của mình.