1 điểm bởi GN⁺ 2023-10-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • Dữ liệu người dùng của dịch vụ xét nghiệm di truyền 23andMe đã bị phát tán trên các diễn đàn hacker, và công ty cho rằng nguyên nhân là do tấn công credential stuffing nhắm vào việc tái sử dụng mật khẩu
  • Kẻ tấn công đã truy cập tài khoản 23andMe.com bằng thông tin đăng nhập bị lộ từ các vụ xâm phạm trên những nền tảng trực tuyến khác, và công ty cho biết hiện chưa có dấu hiệu hệ thống nội bộ bị xâm phạm
  • Các mục bị lộ gồm họ tên thật, tên người dùng, ảnh hồ sơ, giới tính, ngày sinh, kết quả tổ tiên di truyền, vị trí địa lý và các thông tin có khả năng định danh cá nhân cao
  • Mẫu dữ liệu ban đầu là 1 triệu dòng dữ liệu của người Ashkenazi, sau đó đến ngày 4/10 xuất hiện đề nghị bán số lượng lớn với giá 1~10 USD cho mỗi tài khoản
  • Dữ liệu ghép nối của các tài khoản đã bật tính năng DNA Relatives bị thu thập hàng loạt, cho thấy một tính năng xã hội tùy chọn có thể trở thành con đường làm lộ thông tin cá nhân ngoài dự kiến

Dữ liệu 23andMe được xác nhận trên diễn đàn hacker

  • 23andMe cho biết họ đã nhận thức được việc dữ liệu người dùng trên nền tảng của mình đang bị phát tán trên các diễn đàn hacker, và cho rằng đây là vụ rò rỉ do tấn công credential stuffing
  • Đây là công ty công nghệ sinh học và hệ gen của Mỹ, cung cấp báo cáo về tổ tiên và khuynh hướng di truyền khi khách hàng gửi mẫu nước bọt đến phòng thí nghiệm
  • Một tác nhân đe dọa đã công bố mẫu dữ liệu mà họ tuyên bố lấy cắp từ công ty di truyền học này, và vài ngày sau tiếp tục đề nghị bán các gói dữ liệu khách hàng 23andMe

Credential stuffing và lập trường của công ty

  • Người phát ngôn của 23andMe xác nhận dữ liệu được đăng trên diễn đàn là dữ liệu 23andMe có thật
  • Công ty nhận định kẻ tấn công đã dùng thông tin xác thực bị lộ từ những vụ xâm phạm khác để truy cập tài khoản 23andMe và đánh cắp dữ liệu nhạy cảm
  • Công ty cho biết hiện chưa có dấu hiệu cho thấy đã xảy ra sự cố bảo mật dữ liệu bên trong hệ thống của họ
  • Kết quả điều tra ban đầu cho thấy thông tin đăng nhập mà người dùng tái sử dụng trên nhiều nền tảng trực tuyến có thể đã bị rò rỉ trong các sự cố khác rồi bị kẻ tấn công thu thập

Phạm vi dữ liệu bị lộ và bị rao bán

  • Dữ liệu công khai ban đầu còn hạn chế, nhưng tác nhân đe dọa đã công bố 1 triệu dòng dữ liệu của người Ashkenazi
  • Đến ngày 4/10, họ đề nghị bán số lượng lớn hồ sơ dữ liệu với giá 1~10 USD cho mỗi tài khoản 23andMe tùy theo số lượng mua
  • Thông tin bị lộ bao gồm các mục sau
    • Họ và tên đầy đủ
    • Tên người dùng
    • Ảnh hồ sơ
    • Giới tính
    • Ngày sinh
    • Kết quả tổ tiên di truyền
    • Vị trí địa lý

Lan rộng thông qua tính năng DNA Relatives

  • Số lượng tài khoản bị rao bán không hoàn toàn trùng khớp với số tài khoản 23andMe bị xâm phạm bằng thông tin xác thực bị lộ
  • Các tài khoản bị xâm phạm đều đang bật tính năng DNA Relatives của 23andMe
  • DNA Relatives là tính năng cho phép người dùng tìm và kết nối với những người thân có quan hệ di truyền
  • Sau khi truy cập được vào một số ít tài khoản 23andMe, kẻ tấn công đã thu thập dữ liệu ghép nối DNA Relatives của các tài khoản đó
  • Trường hợp này cho thấy việc tham gia một số tính năng nhất định có thể dẫn tới rò rỉ thông tin cá nhân ngoài dự kiến

Biện pháp bảo vệ người dùng có thể thực hiện

  • 23andMe cung cấp xác thực 2 bước để bảo vệ tài khoản và khuyến nghị mọi người dùng nên kích hoạt
  • Hướng dẫn liên quan có tại Adding 2-Step Verification to Your 23andMe Account
  • Người dùng nên tránh tái sử dụng mật khẩu và cần dùng thông tin xác thực mạnh, khác nhau cho từng tài khoản trực tuyến

1 bình luận

 
GN⁺ 2023-10-08
Ý kiến trên Hacker News
  • Nếu tôi không đọc nhầm, có vẻ ai đó đã có sẵn một cơ sở dữ liệu email/mật khẩu bị rò rỉ, rồi thử dùng chúng trên 23andMe; nếu đăng nhập được thì lấy các dữ liệu có thể truy cập
    Đúng là 23andMe nắm giữ dữ liệu rất rộng và mang tính cá nhân, nhưng kiểu tấn công này, nói theo nghĩa đen, có thể xảy ra với bất kỳ website nào
    Điểm mấu chốt là mọi người tái sử dụng mật khẩu và cũng không bật xác thực hai yếu tố
    Vì vậy cơ sở dữ liệu đang được bán chỉ là danh sách những email/mật khẩu từ các vụ rò rỉ khác cũng dùng được trên 23andMe, cùng với dữ liệu 23andMe có trong các tài khoản đó
    Nói chính xác thì khó xem đây là một vụ xâm phạm trực tiếp vào chính 23andMe

    • Dù là vậy đi nữa thì 23andMe lẽ ra phải ngăn chặn tốt hơn
      Không hiểu vì sao họ cho phép đăng nhập tài khoản từ IP mới mà không yêu cầu xác minh bổ sung
      Họ có email nên tối thiểu cũng có thể dùng xác thực hai bước qua email, và như những người khác đã nói, CAPTCHA cũng có thể khiến cuộc tấn công chậm hơn và tốn kém hơn
      Nơi tôi làm việc dùng cả hai, nên không thể nói cuộc tấn công này “theo nghĩa đen là có thể xảy ra với bất kỳ website nào”
      Một công ty trưởng thành, thậm chí đã niêm yết, lại để xảy ra credential stuffing ở quy mô hàng triệu tài khoản là điều đáng xấu hổ
    • Tôi nghĩ không nên hiểu theo cách đó
      Thứ quan trọng nhất trong những gì người ta có thể truy cập là toàn bộ hồ sơ DNA thô, và nhiều nạn nhân bị lộ vì những người đã đồng ý dùng tính năng “Relatives”, ngay cả khi tài khoản của chính họ vẫn an toàn
    • Có thể đặt một câu hỏi:
      Liệu có nên cho phép “xác thực hai yếu tố đang tắt” cùng tồn tại với “dữ liệu rất rộng và mang tính cá nhân” hay không
    • Đúng là đây không phải một cuộc tấn công tinh vi
      Điều đáng thất vọng là cuộc tấn công này có hiệu quả ở quy mô lớn
      Ở một số website, kiểu tấn công này có thể được thực hiện trên quy mô lớn, nhưng nếu chọn đúng chỉ số để giám sát và đặt cảnh báo thì ở phía nhận tấn công nó sẽ lộ ra khá ồn ào
      Họ nói “hiện tại chưa có dấu hiệu nào cho thấy đã xảy ra sự cố bảo mật dữ liệu bên trong hệ thống của chúng tôi”, nhưng nếu hệ thống đó đã được dùng để trích xuất dữ liệu khách hàng và họ chỉ biết sau khi dữ liệu khách hàng bị đem bán, thì chính phần đó cần được cải thiện trước tiên
      Việc công bố muộn như thế này khiến tôi nghĩ có khả năng họ chỉ biết sau khi báo chí hỏi
    • Các website nên giảm thiểu credential stuffing bằng cách đối chiếu với các mật khẩu đã biết là bị bẻ khóa
      Chỉ cần tải cơ sở dữ liệu mật khẩu đã băm của Troy Hunt về, kiểm tra khi đăng nhập, và nếu là mật khẩu đã rò rỉ thì chuyển người dùng sang luồng đặt lại mật khẩu qua email
      Hoặc có thể dùng API
      Rất đơn giản, và tôi nghĩ đây đã là best practice được chấp nhận từ khoảng năm 2017
      Việc này 100% là trách nhiệm của 23andMe
      https://haveibeenpwned.com/Passwords
  • Tôi tự hỏi liệu các công ty có bắt đầu nghiêm túc xem xét lại “quyền bắc cầu” hay “quyền theo mạng lưới” hay không
    Điều này rất giống vụ Facebook từng bị ảnh hưởng nặng
    Tôi có quyền xem toàn bộ dữ liệu của bạn bè, và trước đây chỉ bằng một nút bấm, tôi có thể cho ai đó yêu cầu xem không chỉ thông tin của tôi mà cả thông tin của bạn bè tôi
    Từ góc nhìn khoa học máy tính thì điều đó hợp lý: nếu tôi cho bạn xem toàn bộ dữ liệu của tôi, tôi sẽ không còn kiểm soát được việc bạn chia sẻ tiếp với ai
    Nhưng từ góc nhìn con người, đa số không nghĩ rằng việc tôi cấp quyền truy cập cho bạn về thực chất là cấp quyền truy cập cho cả thế giới
    Những quyền theo mạng lưới như vậy biến công ty nắm giữ dữ liệu đó thành mục tiêu lớn
    Vì kẻ tấn công chỉ cần hack vài tài khoản là có thể thu được lượng dữ liệu lớn hơn theo cấp số nhân

    • Không phải là toàn bộ thông tin của bạn bè, mà chỉ thấy tập con mà người bạn đó đã chia sẻ thôi, đúng không
      Ý là phạm vi mà người viết đã đặt cho bạn của bạn bè có thể thấy
  • Theo tweet này, có khả năng hacker đã lấy được toàn bộ dữ liệu nhưng chỉ rò rỉ một phần, tức 1,3 triệu bản ghi
    Phần đó được nói là dữ liệu của người Do Thái Ashkenazi
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Nếu vậy thì điều đó giải thích vì sao từ một số lượng nhỏ tài khoản bị xâm phạm lại lấy được nhiều dữ liệu đến thế
      Người Do Thái Ashkenazi tương đối bị cô lập về mặt di truyền so với các nhóm còn lại ở châu Âu, và xuất phát từ một nhóm sáng lập tương đối nhỏ
      Vì vậy theo các chỉ số tiêu chuẩn, họ được phát hiện là có quan hệ họ hàng xa về mặt di truyền với nhau
      Nói cách khác, một khách hàng 23andMe Ashkenazi thông thường có lẽ sẽ thấy nhiều họ hàng hơn hẳn so với khách hàng khác, và nhờ đó có thể xem nhiều hồ sơ hơn
    • Tôi là người dùng 23andMe và có tỷ lệ di truyền Ashkenazi khá cao nên tưởng dữ liệu của mình cũng đã bị rò rỉ, nhưng không có
      Vì vậy nhiều khả năng đây không phải toàn bộ dữ liệu Ashkenazi
    • Tweet đó không có bằng chứng nào cho thấy đây là gì hơn ngoài việc lợi dụng mật khẩu tái sử dụng
      Cũng không có bằng chứng rằng đó là toàn bộ dữ liệu
    • Có sống đến trăm tuổi tôi cũng không nghĩ mình hiểu được vì sao người ta lại ám ảnh với người Do Thái
    • Lại là khủng bố tân Quốc xã nữa, thập niên 2020 thật tuyệt /s
  • Tôi thấy đây là một ý tưởng thú vị, nhưng chính vì những lý do như thế này mà tôi luôn từ chối các kiểu xét nghiệm di truyền như vậy

    • Không chỉ vậy, còn phải ngăn toàn bộ họ hàng của mình đi xét nghiệm nữa
    • Tôi nhớ trong Simpsons có một câu đùa: khi Homer phát hiện chính phủ có DNA của mọi người trong hồ sơ và hỏi, họ trả lời kiểu như “tất cả những ai đã chạm vào một đồng penny kể từ năm 1932”
      Hóa ra không cần phức tạp đến thế, chỉ cần để mọi người tự gửi qua đường bưu điện là được ;)
    • Tôi cũng vậy, và tôi ước có quy định để bảo vệ dữ liệu này
      Nhưng có vẻ như nước đã đổ rồi
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • Dùng tên giả là được mà?
    • Tôi cũng thế
      Có lẽ tôi sẽ không bao giờ dùng những dịch vụ kiểu này
  • Giờ đã nói nhiều lần rồi, nhưng những chuyện như thế này sẽ còn tiếp diễn cho đến khi có trách nhiệm hình sự đối với sự cẩu thả trong lưu trữ và bảo vệ dữ liệu
    Các công ty không quan tâm, và dù PR có nói gì đi nữa, họ sẽ không quan tâm cho đến khi chính họ trực tiếp gặp rủi ro
    Mỗi lần bị xâm phạm, họ lại lặp lại kiểu British Petroleum rằng “chúng tôi thật sự xin lỗi” rồi mua LifeLock cho mọi người
    Hoàn toàn nhảm nhí

    • Không hiểu vì sao 23andMe phải chịu trách nhiệm hình sự
      Theo bài viết, không phải công ty bị xâm phạm, mà chỉ các tài khoản cá nhân dùng lại thông tin đăng nhập bị lộ từ những vụ xâm phạm khác bị chiếm
      Đúng là lẽ ra nên có xác thực hai yếu tố, nhưng tôi không nghĩ nên hình sự hóa việc thiếu xác thực hai yếu tố
  • Tôi vào thử trang trong ảnh chụp màn hình thì thấy có người đang bán thứ mà họ nói là tài liệu NATO bị rò rỉ trong chuyến thăm Philippines, gồm “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, v.v.”
    Còn có thêm một danh sách cơ sở dữ liệu công dân Ukraine năm 2023
    CIA ơi, làm ơn đừng giết tôi! Tôi thề là chỉ vô tình nhìn thấy thôi
    Dù sao thì phải quay lại làm việc đây

    • Trang đó là trang nào vậy?
  • 75 nghìn đô la
    Đây là cách cho thấy chính phủ không coi trọng quyền riêng tư mà không cần nói ra
    Ba tuần trước, công ty xét nghiệm di truyền 1Health.io đã đồng ý nộp khoản phạt 75 nghìn đô la cho FTC để dàn xếp các cáo buộc rằng họ không bảo vệ đúng cách dữ liệu di truyền và sức khỏe nhạy cảm, hồi tố thay đổi chính sách quyền riêng tư mà không thông báo hay xin đồng ý từ khách hàng đã cung cấp dữ liệu, và đánh lừa khách hàng rằng họ có thể xóa dữ liệu của mình

    • Chỉ nhìn câu “welcome to you” đầy tự luyến trên bao bì thôi đã muốn ói rồi, vậy mà vụ này chỉ có 75 nghìn đô la
      Mong công ty sụp hẳn luôn
    • Những hậu quả quái vật mà người ta hay nêu ra khi dữ liệu kiểu này bị rò rỉ thực tế vẫn chưa thấy xuất hiện
      Không có nghiên cứu di truyền bị cấm nào đang diễn ra, phí bảo hiểm không tăng, cũng không có thanh lọc sắc tộc vì thông tin này
      Có thể có vài vụ đánh cắp danh tính và gian lận ngân hàng, nhưng nhìn chung hệ thống hiện tại xử lý được
      Chúng bị bắt ở đầu bên kia
      Nếu muốn phạt nặng thì phải chứng minh được thiệt hại lớn
    • Như mọi khi, chủ nghĩa tư bản vận hành ngược đời
      Nếu thật sự coi trọng quyền riêng tư thì nên hỗ trợ 75 nghìn đô la để sửa vấn đề
      Lấy mất 75 nghìn đô la khỏi ngân sách kỹ thuật sẽ khiến họ làm kém hơn, và sẽ có thêm nhiều dữ liệu bị rò rỉ
  • Nói về tác động quyền riêng tư của việc gửi DNA đi giải trình tự “cho vui”, 23andMe đã hợp tác với cơ quan thực thi pháp luật rồi
    Khoa học dữ liệu cũng đã đủ tốt để ngay cả khi tôi chưa từng trực tiếp nộp mẫu DNA, nếu một người anh/chị/em họ bậc ba của tôi đã nộp mẫu thì họ vẫn có thể suy ra danh tính của tôi
    Một người bình thường có khoảng 200 anh/chị/em họ bậc ba

    • Có thể giải thích thêm cách việc đó hoạt động không
      Giả sử một trong 200 anh/chị/em họ bậc ba của tôi đã làm xét nghiệm tăm bông 23andMe, rồi sau đó tôi phạm tội, có lẽ ở phía bên kia đất nước
      Cơ quan thực thi pháp luật thu thập được chứng cứ DNA
      Vậy tiếp theo sẽ ra sao
    • Cơ quan thực thi pháp luật có thể dùng DNA thu được để truy vấn cơ sở dữ liệu 23andMe không
  • Theo tôi biết có các dịch vụ phả hệ tạo biểu đồ Leeds-Collins, và chúng hoạt động bằng cách yêu cầu người dùng cung cấp thông tin đăng nhập 23andMe
    Tương tự một số dịch vụ ngân hàng bên thứ ba yêu cầu trực tiếp thông tin đăng nhập ngân hàng của người dùng
    Lĩnh vực này có rất nhiều thực hành bảo mật thật sự tệ

    • Từng có OAuth2 API của 23andMe trong một thời gian, và còn cung cấp SNP dưới dạng phạm vi OAuth, nên trong bối cảnh đó thì càng đáng tiếc
  • Không biết 23andMe có thể gửi cho tôi mật khẩu tài khoản của bố tôi mà tôi đã mất từ vài năm trước và giờ cũng không còn địa chỉ email nữa không