23andMe xác nhận dữ liệu người dùng bị đánh cắp do credential stuffing
(bleepingcomputer.com)- Dữ liệu người dùng của dịch vụ xét nghiệm di truyền 23andMe đã bị phát tán trên các diễn đàn hacker, và công ty cho rằng nguyên nhân là do tấn công credential stuffing nhắm vào việc tái sử dụng mật khẩu
- Kẻ tấn công đã truy cập tài khoản 23andMe.com bằng thông tin đăng nhập bị lộ từ các vụ xâm phạm trên những nền tảng trực tuyến khác, và công ty cho biết hiện chưa có dấu hiệu hệ thống nội bộ bị xâm phạm
- Các mục bị lộ gồm họ tên thật, tên người dùng, ảnh hồ sơ, giới tính, ngày sinh, kết quả tổ tiên di truyền, vị trí địa lý và các thông tin có khả năng định danh cá nhân cao
- Mẫu dữ liệu ban đầu là 1 triệu dòng dữ liệu của người Ashkenazi, sau đó đến ngày 4/10 xuất hiện đề nghị bán số lượng lớn với giá 1~10 USD cho mỗi tài khoản
- Dữ liệu ghép nối của các tài khoản đã bật tính năng DNA Relatives bị thu thập hàng loạt, cho thấy một tính năng xã hội tùy chọn có thể trở thành con đường làm lộ thông tin cá nhân ngoài dự kiến
Dữ liệu 23andMe được xác nhận trên diễn đàn hacker
- 23andMe cho biết họ đã nhận thức được việc dữ liệu người dùng trên nền tảng của mình đang bị phát tán trên các diễn đàn hacker, và cho rằng đây là vụ rò rỉ do tấn công credential stuffing
- Đây là công ty công nghệ sinh học và hệ gen của Mỹ, cung cấp báo cáo về tổ tiên và khuynh hướng di truyền khi khách hàng gửi mẫu nước bọt đến phòng thí nghiệm
- Một tác nhân đe dọa đã công bố mẫu dữ liệu mà họ tuyên bố lấy cắp từ công ty di truyền học này, và vài ngày sau tiếp tục đề nghị bán các gói dữ liệu khách hàng 23andMe
Credential stuffing và lập trường của công ty
- Người phát ngôn của 23andMe xác nhận dữ liệu được đăng trên diễn đàn là dữ liệu 23andMe có thật
- Công ty nhận định kẻ tấn công đã dùng thông tin xác thực bị lộ từ những vụ xâm phạm khác để truy cập tài khoản 23andMe và đánh cắp dữ liệu nhạy cảm
- Công ty cho biết hiện chưa có dấu hiệu cho thấy đã xảy ra sự cố bảo mật dữ liệu bên trong hệ thống của họ
- Kết quả điều tra ban đầu cho thấy thông tin đăng nhập mà người dùng tái sử dụng trên nhiều nền tảng trực tuyến có thể đã bị rò rỉ trong các sự cố khác rồi bị kẻ tấn công thu thập
Phạm vi dữ liệu bị lộ và bị rao bán
- Dữ liệu công khai ban đầu còn hạn chế, nhưng tác nhân đe dọa đã công bố 1 triệu dòng dữ liệu của người Ashkenazi
- Đến ngày 4/10, họ đề nghị bán số lượng lớn hồ sơ dữ liệu với giá 1~10 USD cho mỗi tài khoản 23andMe tùy theo số lượng mua
- Thông tin bị lộ bao gồm các mục sau
- Họ và tên đầy đủ
- Tên người dùng
- Ảnh hồ sơ
- Giới tính
- Ngày sinh
- Kết quả tổ tiên di truyền
- Vị trí địa lý
Lan rộng thông qua tính năng DNA Relatives
- Số lượng tài khoản bị rao bán không hoàn toàn trùng khớp với số tài khoản 23andMe bị xâm phạm bằng thông tin xác thực bị lộ
- Các tài khoản bị xâm phạm đều đang bật tính năng DNA Relatives của 23andMe
- DNA Relatives là tính năng cho phép người dùng tìm và kết nối với những người thân có quan hệ di truyền
- Sau khi truy cập được vào một số ít tài khoản 23andMe, kẻ tấn công đã thu thập dữ liệu ghép nối DNA Relatives của các tài khoản đó
- Trường hợp này cho thấy việc tham gia một số tính năng nhất định có thể dẫn tới rò rỉ thông tin cá nhân ngoài dự kiến
Biện pháp bảo vệ người dùng có thể thực hiện
- 23andMe cung cấp xác thực 2 bước để bảo vệ tài khoản và khuyến nghị mọi người dùng nên kích hoạt
- Hướng dẫn liên quan có tại Adding 2-Step Verification to Your 23andMe Account
- Người dùng nên tránh tái sử dụng mật khẩu và cần dùng thông tin xác thực mạnh, khác nhau cho từng tài khoản trực tuyến
1 bình luận
Ý kiến trên Hacker News
Nếu tôi không đọc nhầm, có vẻ ai đó đã có sẵn một cơ sở dữ liệu email/mật khẩu bị rò rỉ, rồi thử dùng chúng trên 23andMe; nếu đăng nhập được thì lấy các dữ liệu có thể truy cập
Đúng là 23andMe nắm giữ dữ liệu rất rộng và mang tính cá nhân, nhưng kiểu tấn công này, nói theo nghĩa đen, có thể xảy ra với bất kỳ website nào
Điểm mấu chốt là mọi người tái sử dụng mật khẩu và cũng không bật xác thực hai yếu tố
Vì vậy cơ sở dữ liệu đang được bán chỉ là danh sách những email/mật khẩu từ các vụ rò rỉ khác cũng dùng được trên 23andMe, cùng với dữ liệu 23andMe có trong các tài khoản đó
Nói chính xác thì khó xem đây là một vụ xâm phạm trực tiếp vào chính 23andMe
Không hiểu vì sao họ cho phép đăng nhập tài khoản từ IP mới mà không yêu cầu xác minh bổ sung
Họ có email nên tối thiểu cũng có thể dùng xác thực hai bước qua email, và như những người khác đã nói, CAPTCHA cũng có thể khiến cuộc tấn công chậm hơn và tốn kém hơn
Nơi tôi làm việc dùng cả hai, nên không thể nói cuộc tấn công này “theo nghĩa đen là có thể xảy ra với bất kỳ website nào”
Một công ty trưởng thành, thậm chí đã niêm yết, lại để xảy ra credential stuffing ở quy mô hàng triệu tài khoản là điều đáng xấu hổ
Thứ quan trọng nhất trong những gì người ta có thể truy cập là toàn bộ hồ sơ DNA thô, và nhiều nạn nhân bị lộ vì những người đã đồng ý dùng tính năng “Relatives”, ngay cả khi tài khoản của chính họ vẫn an toàn
Liệu có nên cho phép “xác thực hai yếu tố đang tắt” cùng tồn tại với “dữ liệu rất rộng và mang tính cá nhân” hay không
Điều đáng thất vọng là cuộc tấn công này có hiệu quả ở quy mô lớn
Ở một số website, kiểu tấn công này có thể được thực hiện trên quy mô lớn, nhưng nếu chọn đúng chỉ số để giám sát và đặt cảnh báo thì ở phía nhận tấn công nó sẽ lộ ra khá ồn ào
Họ nói “hiện tại chưa có dấu hiệu nào cho thấy đã xảy ra sự cố bảo mật dữ liệu bên trong hệ thống của chúng tôi”, nhưng nếu hệ thống đó đã được dùng để trích xuất dữ liệu khách hàng và họ chỉ biết sau khi dữ liệu khách hàng bị đem bán, thì chính phần đó cần được cải thiện trước tiên
Việc công bố muộn như thế này khiến tôi nghĩ có khả năng họ chỉ biết sau khi báo chí hỏi
Chỉ cần tải cơ sở dữ liệu mật khẩu đã băm của Troy Hunt về, kiểm tra khi đăng nhập, và nếu là mật khẩu đã rò rỉ thì chuyển người dùng sang luồng đặt lại mật khẩu qua email
Hoặc có thể dùng API
Rất đơn giản, và tôi nghĩ đây đã là best practice được chấp nhận từ khoảng năm 2017
Việc này 100% là trách nhiệm của 23andMe
https://haveibeenpwned.com/Passwords
Tôi tự hỏi liệu các công ty có bắt đầu nghiêm túc xem xét lại “quyền bắc cầu” hay “quyền theo mạng lưới” hay không
Điều này rất giống vụ Facebook từng bị ảnh hưởng nặng
Tôi có quyền xem toàn bộ dữ liệu của bạn bè, và trước đây chỉ bằng một nút bấm, tôi có thể cho ai đó yêu cầu xem không chỉ thông tin của tôi mà cả thông tin của bạn bè tôi
Từ góc nhìn khoa học máy tính thì điều đó hợp lý: nếu tôi cho bạn xem toàn bộ dữ liệu của tôi, tôi sẽ không còn kiểm soát được việc bạn chia sẻ tiếp với ai
Nhưng từ góc nhìn con người, đa số không nghĩ rằng việc tôi cấp quyền truy cập cho bạn về thực chất là cấp quyền truy cập cho cả thế giới
Những quyền theo mạng lưới như vậy biến công ty nắm giữ dữ liệu đó thành mục tiêu lớn
Vì kẻ tấn công chỉ cần hack vài tài khoản là có thể thu được lượng dữ liệu lớn hơn theo cấp số nhân
Ý là phạm vi mà người viết đã đặt cho bạn của bạn bè có thể thấy
Theo tweet này, có khả năng hacker đã lấy được toàn bộ dữ liệu nhưng chỉ rò rỉ một phần, tức 1,3 triệu bản ghi
Phần đó được nói là dữ liệu của người Do Thái Ashkenazi
https://x.com/mattjay/status/1710370423311888724?s=20
Người Do Thái Ashkenazi tương đối bị cô lập về mặt di truyền so với các nhóm còn lại ở châu Âu, và xuất phát từ một nhóm sáng lập tương đối nhỏ
Vì vậy theo các chỉ số tiêu chuẩn, họ được phát hiện là có quan hệ họ hàng xa về mặt di truyền với nhau
Nói cách khác, một khách hàng 23andMe Ashkenazi thông thường có lẽ sẽ thấy nhiều họ hàng hơn hẳn so với khách hàng khác, và nhờ đó có thể xem nhiều hồ sơ hơn
Vì vậy nhiều khả năng đây không phải toàn bộ dữ liệu Ashkenazi
Cũng không có bằng chứng rằng đó là toàn bộ dữ liệu
Tôi thấy đây là một ý tưởng thú vị, nhưng chính vì những lý do như thế này mà tôi luôn từ chối các kiểu xét nghiệm di truyền như vậy
Hóa ra không cần phức tạp đến thế, chỉ cần để mọi người tự gửi qua đường bưu điện là được ;)
Nhưng có vẻ như nước đã đổ rồi
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Có lẽ tôi sẽ không bao giờ dùng những dịch vụ kiểu này
Giờ đã nói nhiều lần rồi, nhưng những chuyện như thế này sẽ còn tiếp diễn cho đến khi có trách nhiệm hình sự đối với sự cẩu thả trong lưu trữ và bảo vệ dữ liệu
Các công ty không quan tâm, và dù PR có nói gì đi nữa, họ sẽ không quan tâm cho đến khi chính họ trực tiếp gặp rủi ro
Mỗi lần bị xâm phạm, họ lại lặp lại kiểu British Petroleum rằng “chúng tôi thật sự xin lỗi” rồi mua LifeLock cho mọi người
Hoàn toàn nhảm nhí
Theo bài viết, không phải công ty bị xâm phạm, mà chỉ các tài khoản cá nhân dùng lại thông tin đăng nhập bị lộ từ những vụ xâm phạm khác bị chiếm
Đúng là lẽ ra nên có xác thực hai yếu tố, nhưng tôi không nghĩ nên hình sự hóa việc thiếu xác thực hai yếu tố
Tôi vào thử trang trong ảnh chụp màn hình thì thấy có người đang bán thứ mà họ nói là tài liệu NATO bị rò rỉ trong chuyến thăm Philippines, gồm “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, v.v.”
Còn có thêm một danh sách cơ sở dữ liệu công dân Ukraine năm 2023
CIA ơi, làm ơn đừng giết tôi! Tôi thề là chỉ vô tình nhìn thấy thôi
Dù sao thì phải quay lại làm việc đây
75 nghìn đô la
Đây là cách cho thấy chính phủ không coi trọng quyền riêng tư mà không cần nói ra
Ba tuần trước, công ty xét nghiệm di truyền 1Health.io đã đồng ý nộp khoản phạt 75 nghìn đô la cho FTC để dàn xếp các cáo buộc rằng họ không bảo vệ đúng cách dữ liệu di truyền và sức khỏe nhạy cảm, hồi tố thay đổi chính sách quyền riêng tư mà không thông báo hay xin đồng ý từ khách hàng đã cung cấp dữ liệu, và đánh lừa khách hàng rằng họ có thể xóa dữ liệu của mình
Mong công ty sụp hẳn luôn
Không có nghiên cứu di truyền bị cấm nào đang diễn ra, phí bảo hiểm không tăng, cũng không có thanh lọc sắc tộc vì thông tin này
Có thể có vài vụ đánh cắp danh tính và gian lận ngân hàng, nhưng nhìn chung hệ thống hiện tại xử lý được
Chúng bị bắt ở đầu bên kia
Nếu muốn phạt nặng thì phải chứng minh được thiệt hại lớn
Nếu thật sự coi trọng quyền riêng tư thì nên hỗ trợ 75 nghìn đô la để sửa vấn đề
Lấy mất 75 nghìn đô la khỏi ngân sách kỹ thuật sẽ khiến họ làm kém hơn, và sẽ có thêm nhiều dữ liệu bị rò rỉ
Nói về tác động quyền riêng tư của việc gửi DNA đi giải trình tự “cho vui”, 23andMe đã hợp tác với cơ quan thực thi pháp luật rồi
Khoa học dữ liệu cũng đã đủ tốt để ngay cả khi tôi chưa từng trực tiếp nộp mẫu DNA, nếu một người anh/chị/em họ bậc ba của tôi đã nộp mẫu thì họ vẫn có thể suy ra danh tính của tôi
Một người bình thường có khoảng 200 anh/chị/em họ bậc ba
Giả sử một trong 200 anh/chị/em họ bậc ba của tôi đã làm xét nghiệm tăm bông 23andMe, rồi sau đó tôi phạm tội, có lẽ ở phía bên kia đất nước
Cơ quan thực thi pháp luật thu thập được chứng cứ DNA
Vậy tiếp theo sẽ ra sao
Theo tôi biết có các dịch vụ phả hệ tạo biểu đồ Leeds-Collins, và chúng hoạt động bằng cách yêu cầu người dùng cung cấp thông tin đăng nhập 23andMe
Tương tự một số dịch vụ ngân hàng bên thứ ba yêu cầu trực tiếp thông tin đăng nhập ngân hàng của người dùng
Lĩnh vực này có rất nhiều thực hành bảo mật thật sự tệ
Không biết 23andMe có thể gửi cho tôi mật khẩu tài khoản của bố tôi mà tôi đã mất từ vài năm trước và giờ cũng không còn địa chỉ email nữa không
Nếu có trong đó thì họ cũng có thể có mật khẩu