1 điểm bởi GN⁺ 2023-10-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • Chỉ 2 tuần sau khi vụ rò rỉ dữ liệu người dùng 23andMe lần đầu được biết đến, cùng hacker đó đã công bố một bộ dữ liệu mới với quy mô 4 triệu người trên BreachForums
  • Hacker có tên Golem tuyên bố bộ dữ liệu mới bao gồm người dùng đến từ Great Britain, đồng thời có cả thông tin của “những người giàu nhất sống tại Mỹ và Tây Âu”
  • TechCrunch xác nhận một phần dữ liệu mới bị rò rỉ trùng khớp với thông tin người dùng và dữ liệu di truyền của 23andMe đã được công khai
  • Sau khi biết về vụ rò rỉ mới, 23andMe đang xem xét tính xác thực của dữ liệu; trước đó công ty đã hướng dẫn người dùng đổi mật khẩu và bật xác thực đa yếu tố
  • Cách thức xâm nhập thực tế, tổng quy mô rò rỉ và mục đích sử dụng dữ liệu bị đánh cắp vẫn chưa được xác nhận, nên người dùng 23andMe vẫn đối mặt với rủi ro bổ sung

Dữ liệu bổ sung được công bố trên BreachForums

  • Một hacker có tên Golem đã công bố trên diễn đàn tội phạm mạng BreachForums một bộ dữ liệu mới chứa 4 triệu bản ghi thông tin người dùng 23andMe
  • Hacker này cũng chính là người đã rò rỉ gói dữ liệu người dùng bị đánh cắp từ công ty xét nghiệm di truyền 23andMe cách đây 2 tuần
  • TechCrunch xác nhận một phần dữ liệu mới bị rò rỉ trùng khớp với thông tin người dùng và dữ liệu di truyền của 23andMe đã được công khai
  • Golem tuyên bố bộ dữ liệu này bao gồm thông tin của những người đến từ Great Britain
    • Người này cũng tuyên bố danh sách có dữ liệu của “những người giàu nhất sống tại Mỹ và Tây Âu”
  • Người phát ngôn của 23andMe, Andy Kill, cho biết công ty đã biết về vụ rò rỉ mới và đang xem xét liệu dữ liệu này có thực sự là dữ liệu của 23andMe hay không

Giải thích của 23andMe về sự cố và các biện pháp bảo mật tài khoản

  • Ngày 6/10, 23andMe thông báo rằng hacker đã lấy được một phần dữ liệu người dùng, đồng thời giải thích hacker đã dùng credential stuffing
    • Credential stuffing là kỹ thuật thử các tổ hợp tên người dùng/email và mật khẩu đã bị công khai từ những vụ rò rỉ dữ liệu khác
  • Để ứng phó sự cố, 23andMe đã yêu cầu người dùng đổi mật khẩu và khuyến nghị bật xác thực đa yếu tố
  • Theo trang ứng phó sự cố chính thức, 23andMe đã bắt đầu điều tra với sự hỗ trợ của “chuyên gia pháp chứng bên thứ ba”
  • Công ty chỉ ra nguyên nhân sự cố là việc khách hàng tái sử dụng mật khẩu và tính năng tùy chọn DNA Relatives
    • DNA Relatives là tính năng cho phép xem dữ liệu của những người dùng khác đã chọn tham gia và có dữ liệu di truyền khớp
    • Nếu tính năng này được bật, hacker có thể xâm nhập một tài khoản rồi scrape dữ liệu của nhiều người dùng

Những câu hỏi vẫn chưa có lời giải

  • Chưa rõ hacker thực sự đã dùng credential stuffing hay sử dụng kỹ thuật khác
  • Tổng lượng dữ liệu người dùng bị đánh cắp vẫn chưa được biết
  • Cũng chưa xác nhận được hacker định sử dụng dữ liệu như thế nào
  • Sự cố này có thể đã diễn ra, hoặc ít nhất đã bắt đầu, từ vài tháng trước
    • Ngày 11/8, trên một diễn đàn tội phạm mạng khác có tên Hydra, một hacker đã rao bán một bộ dữ liệu người dùng 23andMe
    • Theo phân tích của TechCrunch, bộ dữ liệu đó trùng khớp với một phần hồ sơ người dùng bị rò rỉ 2 tuần trước
    • Hacker trên Hydra tuyên bố sở hữu 300TB dữ liệu người dùng 23andMe, nhưng không đưa ra bằng chứng
  • Cho đến nay, toàn bộ phạm vi của vụ rò rỉ dữ liệu vẫn chưa rõ ràng, và 23andMe dường như cũng chưa nắm được bao nhiêu dữ liệu đã bị đánh cắp

1 bình luận

 
GN⁺ 2023-10-19
Các ý kiến trên Hacker News
  • Việc 23andMe đổ lỗi cho việc khách hàng tái sử dụng mật khẩu và cho DNA Relatives, một tính năng tùy chọn cho phép xem dữ liệu của những người tham gia khác có trùng khớp về mặt di truyền, là cách nói làm mờ đi vấn đề cốt lõi
    Các tùy chọn chia sẻ của DNA Relatives thiếu độ chi tiết, về cơ bản chỉ có khoảng hai mức nên không đủ
    Ngoài ra, 23andMe giới hạn để chỉ hiển thị tối đa 1.500 người gần nhất trong số những người tham gia DNA Relatives; với cấu trúc này, chỉ cần chiếm được vài nghìn tài khoản, hacker có lẽ đã có thể thu thập haplogroup, dự đoán nguồn gốc dân tộc, tên, hồ sơ, danh sách họ hàng và thông tin nguồn gốc địa lý từ phần lớn cơ sở dữ liệu
    Giới hạn 1.500 người này về lý thuyết có ích, nhưng trong một thời gian gần đây vẫn có thể xem được cả các hồ sơ vượt quá phạm vi đó, và không rõ liệu điều đó có phải là một phần của cách bị khai thác hay không

    • Trang “DNA Relatives” của 23andMe ghi như sau: “Nếu chọn tham gia tính năng DNA Relatives, bạn có nhiều tùy chọn quyền riêng tư phù hợp với sở thích cá nhân. Để có quyền riêng tư hoàn toàn, bạn có thể rút khỏi DNA Relatives hoàn toàn.”
      Nếu muốn có quyền riêng tư hoàn toàn thì phải rút khỏi, vậy tôi không hiểu đây là tính năng chọn tham gia kiểu gì
      Cũng không rõ ở đây quyền riêng tư hoàn toàn nghĩa là gì, và nó khác gì với mức quyền riêng tư có thể kỳ vọng một cách hợp lý
      Tôi thấy tuyên bố của công ty rằng tính năng này là chọn tham gia thật vô lý
    • Một công ty thật sự tệ hại. Trách nhiệm bảo vệ dữ liệu đã lưu không nằm ở người dùng, mà hoàn toàn thuộc về công ty
      Nếu người dùng tái sử dụng mật khẩu thì đó có thể là nguyên nhân khiến một tài khoản đơn lẻ bị xâm nhập, nhưng với tư cách là công ty, họ hoàn toàn có thể dễ dàng giảm thiểu để thiệt hại không lan rộng
    • Tôi không hiểu vì sao nhiều công ty hơn không triển khai giới hạn yêu cầu hợp lý và phát hiện lạm dụng
      Không thể để chỉ bằng một nhóm tài khoản bị hack mà có thể cào dữ liệu của hàng triệu người
    • Điểm 2 trông rất giống cách Cambridge Analytica làm rò rỉ hàng loạt dữ liệu Facebook
      Không biết CEO của 23andMe có bị lôi ra Quốc hội trong 10 năm tới không
    • Rốt cuộc cũng chỉ là một mạng xã hội dựa trên DNA mà thôi
  • Dùng 23andMe là một trong những điều tôi hối hận nhất đời. Trước khi tôi để tâm đến quyền riêng tư, thấy giảm giá trên Amazon nên đã làm
    Dù yêu cầu xóa, tôi hoàn toàn không tin rằng họ sẽ thực sự xóa dữ liệu của tôi; và kể cả có xóa đi nữa, tôi cũng không biết liệu dữ liệu đó đã đi vào mô hình hay nghiên cứu nào đó và vẫn đang tồn tại ở đâu đó chưa
    Một phần tôi cũng không muốn biết dữ liệu của mình có nằm trong vụ rò rỉ này hay không. Việc này cảm giác khác với rò rỉ thẻ tín dụng hay dữ liệu mua sắm
    Tệ hơn nữa là đã lâu tôi không đăng nhập 23andMe, và rất có thể là từ trước khi tôi chú ý đúng mức đến bảo mật mật khẩu, nên nếu có chuyện cũng không bất ngờ

    • Có thể cũng không quan trọng lắm. Các mô hình ghép khớp di truyền còn rất sơ khai nên dữ liệu đó không có nhiều giá trị lớn
      Facebook và Google có bức tranh chính xác hơn nhiều để dùng vào việc thao túng con người, còn 23andMe chỉ hơn mức thứ gây tò mò chút ít
      Dữ liệu của tôi có lẽ cũng nằm trong vụ rò rỉ này, nhưng tôi sẽ không phí một giây nào trong đời để hối tiếc về chuyện đó
      Cứ chờ xem có nhận được gì từ vụ kiện tập thể không. Nếu nhận được một tấm séc nhỏ thảm hại qua bưu điện như vụ hack Experian, thì ít nhất cũng có một món để đặt lên bàn cà phê
    • Tôi cũng vì tò mò nên đã dùng một trong các dịch vụ lớn, và giờ nhiều khả năng nó cũng đã bị hack
      Tuy nhiên tôi đăng ký bằng bí danh, đưa bộ kit xét nghiệm cho bố tôi, và cũng để một người dì làm xét nghiệm
      Nó không chính xác, nhưng đủ để thỏa mãn sự tò mò
      Cuối cùng thì mọi thứ rồi sẽ bị hack. Như một hacker nổi tiếng từng nói, nên giả định rằng mọi thứ bạn nói hoặc viết rồi sẽ trở thành thông tin công khai
      Nói thêm, chắc sẽ có người bảo “sao anh có thể làm vậy với bố mình”, nhưng nếu biết ông thì sẽ hiểu. Ông sống gần như ngoài lưới điện và sắp qua đời, còn dì tôi thì đã mất rồi
    • Nếu “dữ liệu đó đi vào mô hình hay nghiên cứu nào đó và vẫn đang tồn tại” là nói đến phát triển thuốc mới hay nghiên cứu y học, thì tôi không hiểu vì sao đó lại là chuyện xấu
    • Theo tôi hiểu, vụ này có cấu trúc mà ngay cả khi bản thân không phạm sai lầm, chỉ cần có quan hệ họ hàng với người đã mắc lỗi thì gần như cũng bị đưa vào
    • Ý là chưa yêu cầu xóa à? Nếu đã xóa rồi thì khả năng cao hacker không có dữ liệu đó
  • Tôi là một trong những nạn nhân của vụ rò rỉ. Tôi khá am hiểu công nghệ, cũng hiểu rõ bảo mật, và dùng mật khẩu riêng biệt, an toàn cho mọi nơi
    Tôi thật sự ghê tởm công ty này và cái kiểu đùn đẩy trách nhiệm nhảm nhí của họ
    Chuyện này chẳng khác gì doxxing kiểu doanh nghiệp. Nó sẽ tiếp diễn cho đến khi từng lãnh đạo ở các tập đoàn lớn nhổ vào mặt người dùng như thế này phải chịu trách nhiệm cá nhân
    Cho đến lúc đó, họ chẳng có nghĩa vụ gì phải thật sự quan tâm. Chúng ta chỉ là nguyên liệu đưa vào cỗ máy kiếm tiền mà thôi
    Điều khiến tôi tức giận hơn cả bản thân vụ rò rỉ là sự vắng bóng trách nhiệm
    Tôi sốc trước bầu không khí đổ lỗi cho nạn nhân trong phần bình luận

    • Có vẻ 23andMe đang cố khiến mọi người tin rằng hàng chục nghìn tài khoản khách hàng đã bị hack bằng tấn công credential stuffing
      Ngay cả nếu giả định mỗi người có 1.500 kết quả khớp và không có họ hàng trùng lặp, để đạt quy mô dữ liệu bị rò rỉ là khoảng 14 triệu người thì cũng cần khoảng 10.000 tài khoản bị hack thành công
      Trên thực tế, nhiều người sẽ có họ hàng trùng nhau, nên số tài khoản bị tấn công phải lớn hơn 10.000 rất nhiều, và trong suốt thời gian đó 23andMe phải hoàn toàn không nhận ra điều gì đáng ngờ. Điều này rất khó tin
      23andMe tuyên bố nguyên nhân gốc rễ của vụ rò rỉ là credential stuffing, nhưng 2 tháng trước, các hacker đăng lần đầu trên Hydra Market lại nói rằng họ chỉ dùng hoặc lạm dụng API mà 23andMe cung cấp cho các đối tác học thuật/nghiên cứu
      Các hacker tuyên bố họ có 300TB dữ liệu, bao gồm cả dữ liệu thô, nhưng cho đến nay vẫn chưa đưa ra bằng chứng rằng phạm vi tấn công lớn đến mức đó. Tuy nhiên, nếu tuyên bố đó là thật, vụ xâm nhập này phù hợp với tuyên bố về việc dùng API hơn là credential stuffing
      Vì vậy, nếu quy mô mà kẻ tấn công nói là đúng, khả năng cao hơn nhiều là họ đã scrape toàn bộ dữ liệu qua một trong các API của 23andMe, thay vì credential stuffing. Có thể một trong các nhà nghiên cứu đối tác đã bị hack, hoặc đã/tới nay vẫn có một lỗ hổng kiểm soát truy cập API cho phép kẻ tấn công scrape lại toàn bộ dữ liệu
      Không có nhiều thông tin về API do 23andMe cung cấp, nhưng tôi tìm thấy một API trên RapidAPI (https://rapidapi.com/23andme/api/23andme); nếu có lỗ hổng kiểm soát truy cập hoặc hack người dùng theo kiểu leo thang đặc quyền, thì chỉ cần lấy một cá nhân làm điểm khởi đầu, tải dữ liệu qua nhiều endpoint, rồi thông qua endpoint họ hàng truy vết đệ quy toàn bộ họ hàng và tải từng người một. Thậm chí còn có endpoint cho toàn bộ bộ gene của một cá nhân
      Hiện tại tôi rất nghi ngờ lập luận phòng thủ của 23andMe, nhưng trước khi kẻ tấn công công bố bằng chứng rằng họ có dữ liệu thô, rất khó chứng minh công ty đã sai hoặc nói dối về quy mô tấn công thực tế. Dù vậy, tuyên bố dùng API hợp lý hơn nhiều so với cách mà 23andMe đưa ra, nên điều đó rất đáng lo ngại
    • Thật kỳ lạ khi người ta lại dễ dãi đến thế với việc các creator OnlyFans gửi video và giọng nói về kiểu hình của mình, trong khi việc 23andMe nắm bắt con người ở cấp độ mã nguồn lại không bị xem là tục tĩu
    • Nếu bạn đã đưa dữ liệu DNA của mình lên Internet, đã đến lúc xem lại các nguyên tắc bảo mật cơ bản
    • Tôi không hiểu vì sao một người có kiến thức kỹ thuật lại tham gia vào cái hũ mật như thế này. Tôi muốn biết họ đã tin vào điều gì để đặt niềm tin
    • Khi mua, bạn có dùng tên giả và thẻ ghi nợ trả trước không? Tôi thấy may là mình đã làm vậy
      Tất nhiên, nếu thật sự muốn thì họ vẫn có thể lần ra tôi dựa trên người thân dùng nền tảng này
  • “23andMe đổ lỗi cho việc khách hàng tái sử dụng mật khẩu”, nhưng dù họ diễn đạt thế nào thì đây là thiếu sót của công ty, không phải của khách hàng
    Khách hàng có tái sử dụng mật khẩu và sau này vẫn sẽ như vậy. Với thông tin định danh cá nhân nhạy cảm, việc bắt buộc xác thực hai yếu tố hoặc Google SSO dễ hơn nhiều so với cố thay đổi hành vi khách hàng

    • Tôi không tin nổi dù chỉ 1 giây rằng trên một nền tảng, hàng triệu tài khoản bị chiếm do credential stuffing từ mật khẩu dùng lại
    • Đồng ý. Họ đã có thể dùng xác minh bằng liên kết email, không cần để người dùng tự thiết lập xác thực hai yếu tố
    • Xác thực hai yếu tố có tồn tại, nhưng rất có thể có hàng triệu tài khoản được tạo trước khi tính năng đó ra đời và chưa từng đăng nhập lại để thiết lập
      Đó là phương thức dùng ứng dụng xác thực, an toàn hơn SMS, nhưng vì phiền phức hơn khi thúc người dùng chấp nhận, có thể đã ảnh hưởng đến tỷ lệ triển khai
    • Đây là thất bại trong việc không bắt buộc xác thực đa yếu tố
  • Nếu 23andMe để rò rỉ 300TB dữ liệu khách hàng mà không nhận ra, đó có vẻ là sơ suất. Lẽ ra phải có cảnh báo chứ

    • “Bob, sao hóa đơn AWS tháng này cao thế… ôi chết tiệt”
    • Nếu không phải credential stuffing, họ có thể đã rút vài GB mỗi IP mỗi ngày để tránh phát hiện bất thường về dung lượng
      Dù vậy, 23andMe lẽ ra phải có cơ chế phát hiện hoặc kiểm soát để đánh dấu vị trí địa lý mới đối với kho lưu trữ của khách hàng. Vì khó có chuyện họ giả mạo được điểm đến của từng khách hàng
      Hoặc khi truy cập dữ liệu bằng tài khoản cấp quản trị, cũng phải có quy trình cấp quyền với audit trail và luồng phê duyệt
  • Thật đáng kinh ngạc khi họ đổ lỗi cho khách hàng trả tiền để che đậy thất bại trong bảo mật hệ thống của chính mình
    Bạn không thể kiểm soát người dùng, nhưng có thể kiểm soát tư thế bảo mật của mình. Thái độ và phán đoán của ban lãnh đạo 23andMe thật tệ hại

    • Thái độ toát ra từ kiểu phản ứng này không phải là xin lỗi vì dữ liệu bị rò rỉ, mà giống tiếc nuối vì họ không còn kiếm tiền từ dữ liệu đó được nữa
      Sản phẩm của 23andMe chính là DNA của người dùng, chỉ là được đóng gói đẹp đẽ dưới dạng dễ tiêu hóa mà thôi
  • Nếu họ không phát hiện được hàng triệu hồ sơ bị đánh cắp bằng credential stuffing, thì đó cũng không phải là lời bào chữa tốt hơn cho công ty
    Tôi chắc sẽ chết trước khi thấy các công ty chịu trách nhiệm về hành vi của mình, nên chuyện này cũng chẳng làm tôi ngạc nhiên

  • 23andMe xuất hiện khi tôi còn học trung học, và một giáo viên khoa học của tôi đã dành trọn một tiết học để giải thích vì sao tuyệt đối không nên dùng dịch vụ đó
    Thành thật mà nói, đó là một trong những tiết học giá trị nhất tôi từng nghe, và nhờ vậy tôi chưa bao giờ nghĩ đến việc lại gần nó
    Tôi nghĩ quyền riêng tư dữ liệu nên được đưa vào các môn sức khỏe bắt buộc ở trường học. Có điều chương trình học chính thức có lẽ sẽ bị vận động hành lang phá hỏng, nên rốt cuộc sẽ không dạy nội dung nào thật sự có giá trị

    • Tôi không hiểu vì sao bài giảng đó lại giá trị đến vậy. Cũng không hiểu vì sao với người khác, việc dùng 23andMe lại là hối tiếc lớn nhất đời
      Có gì là riêng tư trong DNA
  • Các bài viết liên quan gần đây:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - tháng 10 năm 2023, 20 bình luận
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - tháng 10 năm 2023, 3 bình luận
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - tháng 10 năm 2023, 2 bình luận

  • “Loại thông tin mà các công ty xét nghiệm di truyền thu thập hiện không được HIPAA, luật bảo vệ thông tin y tế của Mỹ, bảo vệ.”
    Có vẻ các nhà vận động hành lang của ngành xét nghiệm di truyền đã làm việc rất hiệu quả

    • Nếu DNA vật lý là thông tin y tế được bảo vệ, thì mọi nơi chúng ta để lại DNA đều phải có mức bảo mật như phòng khám bác sĩ
      Nhưng dữ liệu được hé lộ bằng cách phân tích DNA, chẳng hạn như việc có mắc bệnh di truyền hay không, thì nên là thông tin y tế được bảo vệ
      Thật kỳ lạ khi chỉ vì đã xử lý một sợi tóc mà thứ gì đó có thể chuyển từ “không phải thông tin y tế được bảo vệ” thành “giờ là thông tin y tế được bảo vệ”
      “Từ thời điểm nào thì nó trở thành thông tin y tế được bảo vệ” có lẽ là một câu hỏi khó trả lời
      Cá nhân tôi nghĩ việc bảo vệ dữ liệu liên quan đến DNA cần một cơ chế riêng, khác với HIPAA
    • Có cơ sở nào cho điều đó không? Nó đã từng thực sự được xem xét chưa, hay chỉ là bịa ra vậy