1 điểm bởi GN⁺ 2023-12-06 | 1 bình luận | Chia sẻ qua WhatsApp
  • Ban đầu, số tài khoản bị xâm nhập trực tiếp được cho là khoảng 14.000, nhưng thông qua mạng lưới kết nối DNA Relatives, tổng số nạn nhân đã tăng lên 6,9 triệu người
  • Khoảng 5,5 triệu người dùng đã chọn tham gia bị lộ tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với người thân, báo cáo tổ tiên và vị trí tự khai báo
  • Riêng khoảng 1,4 triệu người khác bị truy cập thông tin hồ sơ Family Tree, bao gồm tên hiển thị, nhãn quan hệ, vị trí và việc có chia sẻ thông tin hay không
  • 23andMe cho biết do khách hàng tái sử dụng mật khẩu, hacker có thể dùng mật khẩu bị rò rỉ từ các dịch vụ khác để truy cập tài khoản
  • Việc một tài khoản bị xâm nhập kéo theo lộ thông tin của người thân được kết nối, khiến quy mô thiệt hại lên tới khoảng một nửa trong tổng số 14 triệu khách hàng mà 23andMe báo cáo

Vụ xâm phạm dữ liệu 23andMe tăng lên 6,9 triệu người

  • 23andMe hôm thứ Sáu thông báo rằng hacker đã truy cập dữ liệu cá nhân của 0,1% khách hàng, khoảng 14.000 người
  • Khi đó, công ty cho biết thông qua các tài khoản này, hacker cũng có thể truy cập “một số lượng đáng kể” tệp chứa thông tin tổ tiên của những người dùng khác, nhưng không công bố số “người dùng khác” bị ảnh hưởng
  • Sau đó, người phát ngôn của 23andMe xác nhận tổng số nạn nhân là 6,9 triệu người
  • Con số này tương đương khoảng một nửa trong tổng số 14 triệu khách hàng mà 23andMe báo cáo

Thông tin bị lộ từ DNA Relatives và Family Tree

  • Khoảng 5,5 triệu người là người dùng đã chọn tham gia tính năng DNA Relatives của 23andMe
    • Tính năng này cho phép khách hàng tự động chia sẻ một phần dữ liệu với người dùng khác
    • Dữ liệu mà hacker truy cập bao gồm tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với người thân, báo cáo tổ tiên và vị trí tự khai báo
  • Khoảng 1,4 triệu người dùng khác đã chọn tham gia DNA Relatives bị truy cập thông tin hồ sơ Family Tree
    • Thông tin bao gồm tên hiển thị, nhãn quan hệ, năm sinh, vị trí tự khai báo và việc người dùng có chọn chia sẻ thông tin hay không
  • Vì DNA Relatives có cấu trúc ghép nối người dùng với họ hàng, khi một tài khoản bị hack, dữ liệu cá nhân không chỉ của chủ tài khoản mà cả của người thân được kết nối cũng có thể bị lộ
  • Cấu trúc kết nối này tạo ra phạm vi thiệt hại lớn hơn nhiều so với số tài khoản bị xâm nhập trực tiếp

Bài đăng trên diễn đàn hacker và manh mối về tính xác thực của dữ liệu

  • Đầu tháng 10, một hacker tuyên bố trên một diễn đàn hacker nổi tiếng rằng đã đánh cắp thông tin DNA của người dùng 23andMe
  • Để làm bằng chứng cho vụ xâm nhập, người này công bố dữ liệu được cho là của 1 triệu người dùng có nguồn gốc Do Thái Ashkenazi và 100.000 người dùng Trung Quốc
  • Hacker này đề nghị bán dữ liệu với giá 1–10 USD cho mỗi tài khoản
  • Hai tuần sau, cùng hacker đó quảng cáo trên cùng diễn đàn hacker dữ liệu được cho là thêm 4 triệu hồ sơ
  • Trên một diễn đàn hacker khác, cũng có dấu hiệu cho thấy một gói dữ liệu được cho là dữ liệu khách hàng 23andMe đã được rao bán từ hai tháng trước quảng cáo được biết đến rộng rãi
  • Khi phân tích dữ liệu bị rò rỉ từ vài tháng trước, một số hồ sơ trùng khớp với dữ liệu di truyền mà các nhà nghiên cứu nghiệp dư và nhà nghiên cứu phả hệ đã công khai trên mạng
    • Hai tập dữ liệu có định dạng khác nhau, nhưng một số dữ liệu người dùng duy nhất và dữ liệu chung giống nhau
    • Vì vậy, dữ liệu mà hacker làm rò rỉ có khả năng ít nhất một phần là dữ liệu khách hàng 23andMe thật

Nguyên nhân xâm nhập theo 23andMe

  • Trong công bố về vụ xâm nhập hồi tháng 10, 23andMe chỉ ra nguyên nhân là việc khách hàng tái sử dụng mật khẩu
  • Hacker có thể dùng mật khẩu bị lộ từ các vụ xâm phạm dữ liệu ở công ty khác để truy cập tài khoản nạn nhân bằng phương thức dò mật khẩu hàng loạt
  • Việc truy cập được một tài khoản đã lan qua mạng lưới DNA Relatives và dẫn tới truy cập thông tin của người dùng khác, khiến phạm vi thiệt hại mở rộng đáng kể

1 bình luận

 
GN⁺ 2023-12-06
Các ý kiến trên Hacker News
  • Sự cố này là phản ví dụ hoàn hảo cho câu “Sao phải quan tâm đến quyền riêng tư dữ vậy? Tôi chia sẻ thì có ảnh hưởng gì đến bạn đâu, không thích thì đừng làm”
    Nếu một người họ hàng tải thông tin bộ gen lên 23andMe, thông tin về tôi cũng bị lộ ra bất kể lựa chọn của tôi là gì
    Hy vọng mọi người nhận ra điều này cũng áp dụng tương tự với việc thu thập dữ liệu hành vi của những người có cùng bối cảnh

    • Tôi đồng ý với chính phản biện đó, nhưng không chắc mọi người có thật sự nói theo kiểu đó không
      Câu thường gặp hơn chỉ là “Sao phải quan tâm đến quyền riêng tư dữ vậy?”, và nhiều người ngay từ đầu đã không hiểu vì sao quyền riêng tư lại quan trọng
      Ngay cả vụ này cũng khó trở thành một lập luận phản bác mạnh hơn các vụ rò rỉ khác, cho đến khi cho thấy thiệt hại thực tế
      Tôi tò mò không biết bạn nghĩ điều gì sẽ thật sự xảy ra với những người bị đánh cắp dữ liệu liên quan đến tổ tiên lần này
    • Cá nhân tôi nghĩ vụ rò rỉ Equifax là một phản ví dụ tốt hơn
      Với 23andMe thì ít nhất khách hàng vẫn có thể quyết định có dùng dịch vụ hay không và cân nhắc lợi hại, nhưng Equifax thì bạn bị ép đưa vào một hệ thống chấm điểm ảnh hưởng từ việc xin vay cho đến xin việc, rồi họ hút dữ liệu do bên thứ ba bán để nắm giữ thông tin cá nhân của bạn
      Sau vụ rò rỉ cũng không có biện pháp khắc phục nào thực sự hiệu quả; dù nguy cơ bị đánh cắp danh tính là rất cao, họ không thừa nhận sai sót mà chỉ cung cấp kiểu ‘giám sát tín dụng’ mang tính hình thức
      Rốt cuộc, chính các cơ quan xếp hạng tín dụng gây ra vấn đề lại chia sẻ và phân phối thông tin khi chưa được đồng ý mà không phải chịu trách nhiệm gì
      Tôi xem đó là một lập luận thiếu hiểu biết và tự hủy hoại, trong đó sự chủ quan coi nhẹ quyền riêng tư khiến cả người khác rơi vào tình thế tệ hơn
    • Tôi ủng hộ quyền riêng tư và thường tránh chia sẻ dù phải chịu nhiều bất tiện hơn hầu hết mọi người, nhưng tôi cũng nghĩ lựa chọn của cá nhân là quan trọng
      Tôi khó hình dung một mô hình quyền riêng tư có thể ngăn người khác chia sẻ thông tin của chính họ chỉ vì một phần thông tin đó trùng với tôi
    • Nói chính xác thì không có tin nói dữ liệu bộ gen đã bị đánh cắp
      Dữ liệu bị lộ có vẻ gần với dữ liệu phả hệ/họ hàng hơn
      Dữ liệu bị đánh cắp được cho là bao gồm tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với họ hàng, báo cáo tổ tiên và vị trí tự khai
    • Đồng ý
      Tương tự, có thể hỏi “Thu nhập của bạn là bao nhiêu?”, “Tôi đọc thư của bạn được không?”, “Tôi giữ chìa khóa nhà bạn được không?”
      Có người thấy khó với các ý niệm trừu tượng, nhưng đưa nó về thế giới vật lý thì ai cũng hiểu ngay cảm giác khó chịu
  • Tôi tò mò chuyện này liên quan đến mức nào với thay đổi điều khoản sử dụng được gửi đúng vào ngày Lễ Tạ ơn, thời điểm hoàn hảo để bị chôn vùi trong hộp thư đến của mọi người
    Thay đổi này tìm cách cấm kiện tập thể, buộc phải trải qua một quy trình “không chính thức” 60 ngày trước khi có hành động pháp lý, rồi đẩy người dùng vào trọng tài ràng buộc
    Theo các điều khoản do luật sư của 23andMe soạn, với tư cách khách hàng thì về cơ bản bạn gần như không còn quyền pháp lý thực chất nào

    • Điều này có hiệu lực trước tòa không?
      Ít nhất ở Đức, những hợp đồng quá thiên vị một bên sẽ bị tòa tuyên vô hiệu
    • Tôi vừa nhận được email cập nhật, và có vẻ như trong điều khoản mới có thể chọn từ chối
      Tôi không rõ hệ quả của việc đó là gì
      “Chúng tôi khuyến nghị bạn đọc toàn bộ điều khoản mới. Nếu không đồng ý với điều khoản, vui lòng thông báo cho chúng tôi trong vòng 30 ngày kể từ ngày nhận được email này. Khi đó, điều khoản dịch vụ hiện tại sẽ tiếp tục được áp dụng. Nếu bạn không thông báo trong vòng 30 ngày, bạn sẽ được xem là đã đồng ý với điều khoản mới.”
      Email thông báo: legal@23andme.com
    • Nếu 6,9 triệu người dùng bắt đầu thủ tục trọng tài, có khi 23andMe lại muốn kiện tập thể hơn cũng nên
  • Tôi tự hỏi liệu có ai nghĩ rằng trong tương lai vẫn có thể duy trì quyền riêng tư theo nghĩa thực chất hay không
    Các thuật toán học máy đang học cách nhận diện người chỉ bằng dáng đi mà không cần nhận diện khuôn mặt, và cũng đang tiến tới việc giải mã văn bản nhập vào chỉ dựa trên âm thanh gõ bàn phím
    Nếu có đầy đủ manh mối tổng thể từ mọi dữ liệu công khai và các thuật toán đủ phát triển, liệu có cách nào để duy trì mức riêng tư mà ngày nay chúng ta coi là hợp lý, mà không phải áp dụng đầy đủ mọi biện pháp cực đoan hay không?
    Tôi không định đưa ra phán xét giá trị, chỉ là xu hướng đang diễn ra trông có vẻ như vậy

    • Có lẽ là khó, nhưng điều đó không phải là lý do để từ bỏ việc thảo luận xem quyền riêng tư trong tương lai nên có hình hài như thế nào
      Nếu cứ ngồi yên thì họ sẽ thắng, nhưng nếu thảo luận công khai thì ít nhất vẫn có khả năng đặt ra được các cơ chế bảo vệ
      Tất nhiên, nói thật thì mọi thứ đã hỏng hết rồi và EvilCorp sẽ thắng, nên có thể chúng ta chỉ đang tốn năng lượng để chiến đấu rồi tự khiến mình phát điên
      Kháng cự là vô ích
    • Khoảng 10 năm trước, tôi từng biết những người nghiên cứu thuật toán thị giác máy tính để nhận diện người bằng hình dạng tai, dáng đi và đặc điểm cơ thể, chứ không phải khuôn mặt
      Lý do là các công ty như Fortinet muốn tạo ra “người gác cửa tự động”, đặt camera ở lối vào căn hộ hoặc chung cư để quét và phân tích người đi ngang qua
      Tôi hầu như không thấy ý thức đạo đức nào từ những người liên quan
      Điều cần thiết là một đạo luật mạnh mẽ ghi rõ quyền được lãng quên
      Tôi không cho rằng bản thân việc tự động hóa nhận diện là sai về bản chất, nhưng việc các công ty cố nhận diện mọi con người có thể nhận diện được mà không có sự đồng ý là cực kỳ sai
    • Có thể nói chính phủ Anh đã nghiên cứu dáng đi bảo vệ quyền riêng tư từ nhiều thập kỷ trước: https://youtu.be/eCLp7zodUiI
    • Tôi đồng ý, nhưng quyền riêng tư cũng là một tầng trừu tượng đặt lên trên những điều mọi người thực sự lo ngại
      Câu trả lời cho “tại sao anh/chị muốn giấu thông tin này” rốt cuộc quy về nỗi sợ rằng “[một cá nhân hay nhóm nào đó] có thể dùng [dữ liệu riêng tư] để tạo ra [kết quả xấu] đối với tôi”
      Điều mọi người thực sự quan tâm không phải là bản thân dữ liệu, mà là nguy cơ xảy ra kết quả xấu
      Nếu xu hướng này là đúng, trọng tâm nên là ngăn chặn sự mất cân bằng quyền lực bất đối xứng trong các giao dịch xã hội có thể tạo ra những kết quả xấu đó
    • Cá nhân tôi không nghĩ là có thể duy trì được
      Trước đây chỉ nghĩ tới việc tài liệu mật bị rò rỉ thôi cũng đủ khiến tôi phát điên, nhưng sau khi thấy dữ liệu cá nhân bị xử lý bê bối đến mức nào, tôi nhận ra đó gần như là chuyện chắc chắn
      Ngay cả ở Úc, nơi luật về quyền riêng tư tương đối tốt, vụ hack lớn của Optus đã khiến khoảng một nửa dân số bị đánh cắp thông tin thẻ tín dụng, còn vụ hack Medibank làm lộ thông tin của rất nhiều khách hàng bảo hiểm y tế tư nhân
      Khi nộp hồ sơ vay thế chấp mua nhà, tôi phát hiện ngay cả các môi giới thế chấp nhỏ trong khu cũng nhận hàng trăm đến hàng nghìn tài liệu định danh nhạy cảm qua email mỗi năm, và cũng không xóa chúng sau khi giao dịch kết thúc
      Nhiều công ty ở Úc xác minh danh tính chỉ bằng tên, địa chỉ và ngày sinh, những thứ thường có thể tìm ra dễ dàng sau 5 phút tìm kiếm
      Tôi đã đặt PIN cho tài khoản Telstra trong nhiều năm để ngăn thay đổi quản trị, nhưng một ngày nọ khi gọi điện, họ xử lý luôn mà thậm chí không hỏi mật khẩu
      Tôi nghĩ cách duy nhất để quyền riêng tư được tôn trọng là buộc công ty, tức nạn nhân thực sự, phải chịu trách nhiệm về gian lận
      Câu đùa cũ rằng “danh tính bị đánh cắp” thực ra không phải là danh tính bị đánh cắp, mà là quy trình xác minh của công ty đã thất bại rồi họ đổ trách nhiệm để tránh chịu tổn thất
      Vì vậy dạo này tôi chỉ dùng thẻ tín dụng
      Vì nếu có giao dịch gian lận, tôi có thể yêu cầu hoàn tiền qua chargeback, và đó gần như là cơ chế duy nhất có thể thực sự ngăn việc truy cập trái phép vào tiền của tôi
  • Gần đây tôi gặp một chuyện khá rợn người
    Một bệnh viện tôi từng đến vài tháng trước gọi điện, đề nghị tôi tham gia chương trình phân tích DNA
    Họ nói: “Điểm hay nhất là anh/chị không cần làm gì cả. Chúng tôi có thể dùng mẫu máu đã lấy lần trước”
    Tất nhiên tôi từ chối, nhưng việc họ lưu giữ một mẫu sinh học gắn với tôi mà không hề thông báo, rồi còn có thể phân tích DNA sau đó, thật không thể chấp nhận được
    Điều đó khiến tôi cảm giác như đây là bằng chứng cho thấy luật về quyền riêng tư ở Mỹ về cơ bản không tồn tại
    Ở EU, không thể đông lạnh và lưu trữ mẫu mà không có sự đồng ý, còn mẫu không đông lạnh cũng chỉ được phép giữ trong khoảng vài ngày

    • Ở Thụy Điển có một sổ đăng ký mẫu máu của tất cả những người sinh ra tại Thụy Điển kể từ năm 1975: https://sv.wikipedia.org/wiki/PKU-registret
      Bài viết trên Wikipedia chỉ có tiếng Thụy Điển
      Như có thể dự đoán, hoặc cũng khá thú vị, cảnh sát trước đây không được truy cập dữ liệu này, cho đến sau khi một bộ trưởng chính phủ bị sát hại năm 2003 thì họ lấy được mẫu của nghi phạm
      Theo những gì được biết, sau đó dữ liệu này chưa từng được sử dụng nữa
      Có thể nhìn nhận một cách hoài nghi, nhưng cho đến nay việc cảnh sát sử dụng sổ đăng ký này chưa trở thành thông lệ và vẫn do tòa án kiểm soát
    • Dù vậy bệnh viện vẫn đã gọi điện để xin phép sử dụng, và nếu họ tuân thủ luật thì có lẽ họ đã không thực sự dùng mẫu
      Vậy chẳng phải như thế là vẫn có luật về quyền riêng tư sao?
      Có thể đó chỉ là một bước trong quy trình dọn dẹp các kết quả hoặc mẫu cũ
  • Có gì đó không khớp
    “23andMe nói vụ rò rỉ dữ liệu xảy ra do khách hàng tái sử dụng mật khẩu”, nhưng nếu 14.000 tài khoản bị xâm nhập cùng lúc thì những mật khẩu đó đến từ đâu?
    Có phải đã có một vụ rò rỉ liên quan khác như LastPass không?
    Ngoài ra, nếu hacker đã truy cập thông tin cá nhân của 6,9 triệu người thông qua tính năng “DNA Relatives”, thì nghĩa là mỗi tài khoản trong số 14.000 tài khoản ban đầu bị xâm nhập có khoảng 492 người thân riêng biệt
    Tôi đang bỏ sót điều gì?

    • Việc 14.000 tài khoản bị xâm nhập tự nó không quá đáng ngạc nhiên, ngoại trừ vấn đề kỹ thuật là họ không hạn chế hoặc phát hiện được các lần thử đăng nhập liên tục vào các tài khoản khác nhau
      Kẻ tấn công có thể đã thu thập dữ liệu bằng một mạng phân tán quy mô lớn, nhưng khả năng cao là ngay từ đầu đã không có cơ chế phát hiện hay bảo vệ
      Tuy nhiên, khi tôi đăng nhập để kiểm tra số lượng người thân trong tài khoản của mình, 23andMe đã chặn đăng nhập và yêu cầu đặt lại mật khẩu với lý do tái sử dụng mật khẩu
      Tôi luôn dùng một mật khẩu rất mạnh cho tài khoản này, chưa từng tái sử dụng ở đâu, và cũng đã bật xác thực hai yếu tố
      Có vẻ chính công ty cũng không hoàn toàn thoải mái với lời giải thích rằng nguyên nhân là mật khẩu bị tái sử dụng
      Sau khi đặt lại mật khẩu mà tôi chưa từng tái sử dụng, tôi kiểm tra thì bảng DNA Relatives có 60 trang, mỗi trang hiển thị 25 người, tổng cộng có thể lấy được 1.500 người thân
      Nếu quét dữ liệu này từ 14.000 tài khoản ngẫu nhiên thì có thể tạo ra một mạng lưới khá lớn
    • Không hề đáng ngạc nhiên
      Các danh sách lớn tổng hợp nhiều vụ rò rỉ mật khẩu trong quá khứ có sẵn công khai, không chỉ kẻ tấn công mà gần như ai cũng dễ tiếp cận
      Trong hơn 14 triệu người dùng, việc 14.000 người, tức 0,1%, tái sử dụng mật khẩu đã bị rò rỉ ở nơi khác là hoàn toàn hợp lý
      Nhất là nếu không chủ động phát hiện và vô hiệu hóa các mật khẩu đó, như cuộc thảo luận HN hôm qua về công việc của Troy Hunt
    • Nếu là rò rỉ do tái sử dụng mật khẩu, thì hẳn tên người dùng và mật khẩu đã bị lộ từ nơi khác
      Nếu tên người dùng và mật khẩu bị rò rỉ từ 23andMe, thì đó không phải là vấn đề tái sử dụng, mà chỉ là tìm được danh sách thông tin đăng nhập của 23andMe rồi bẻ khóa
      Việc có 14.000 người dùng 23andMe trùng trong danh sách rò rỉ của website khác hoặc danh sách tổng hợp từ nhiều vụ rò rỉ hoàn toàn không có gì đáng ngạc nhiên
    • Nếu tình hình 23andMe của tôi gần mức trung bình về số người thân DNA và mức độ dễ bị hack của họ, thì điều này nghe có lý
      Tìm nhanh thì 23andMe có 14 triệu khách hàng, và 14.000 tài khoản bị rò rỉ tức là 1 trong 1.000 tài khoản bị xâm nhập
      Danh sách người thân DNA của tôi hiển thị hơn 1.500 người một chút
      Nếu mỗi tài khoản có xác suất bị hack là 1/1000, thì xác suất không ai trong số người thân của tôi bị hack là (1-1/1000)^1500 = 0,223
      Xác suất có ít nhất một người thân bị hack là 0,777
      Nếu giả định tôi là người dùng trung bình, thì dự kiến sẽ có khoảng 10,8 triệu người có người thân là tài khoản bị hack, con số này có vẻ đủ gần với 6,9 triệu
  • Tôi chưa từng nghiêm túc nghĩ đến việc dùng 23andMe
    Không phải vì hacker, mà vì chính phủ sẽ dùng thông tin đó như thế nào
    Tôi không muốn chịu trách nhiệm cho việc một người họ hàng ngẫu nhiên bị nghi phạm chỉ vì tôi tò mò về gia phả

    • Nhờ 23andMe, tôi biết được rằng cha tôi không phải là cha ruột trên phương diện sinh học, và tôi có một người chị/em cùng cha khác mẹ cùng một nhóm họ hàng lớn mà trước đó tôi thậm chí không biết là tồn tại
      Tôi hiểu rõ các lo ngại về quyền riêng tư và thông tin định danh cá nhân, nhưng với tôi, nó chắc chắn đáng giá vì giúp tôi hiểu rõ hơn mình là ai và tìm được những người thân đã chào đón tôi rất nồng ấm
      Cuối cùng thì đó là một sự đánh đổi
    • Tôi thực sự tò mò về thông tin 23andMe của mình, nhưng tôi nghĩ rồi một ngày nào đó nó sẽ bị hack, hoặc bị bán cho một tổ chức không đáng tin cậy muốn kiếm tiền nhanh bằng cách bán đứng người dùng
      Nếu có thể làm xét nghiệm rồi sau khi gửi kết quả, dữ liệu xét nghiệm và thông tin phía công ty bị hủy, hoặc có thể dùng xét nghiệm tại nhà mà dữ liệu không rời khỏi nhà, thì tôi sẽ làm
      Tôi khó hiểu vì sao các công ty lại tiếp tục lưu giữ loại dữ liệu này
      Đó là một gánh nặng trách nhiệm khổng lồ
      Trong trường hợp này có thể là vì tính năng xác định quan hệ họ hàng, nhưng tôi nghi ngờ liệu tính năng đó có đáng để chấp nhận rủi ro hay không
    • Đã có trường hợp nào dùng các cơ sở dữ liệu kiểu này để đưa ra cáo buộc không phải là giết người hay hiếp dâm chưa?
      Những vụ án tôi từng thấy được giải quyết bằng công nghệ này đều là những việc mà nếu việc tôi làm giúp ngăn chặn người làm điều cực kỳ tồi tệ, tôi sẵn lòng thấy mừng vì điều đó
    • Nếu đó là nỗi lo duy nhất thì bạn nên đọc thêm về Đức Quốc xã
      Cứ tưởng tượng nếu họ có được cơ sở dữ liệu thông tin di truyền thì họ đã làm gì
  • Tình cờ hôm qua tôi đọc được một bình luận rất hay của adameasterling ở một luồng khác về tấn công nhồi thông tin đăng nhập [1]
    Nội dung là: “Troy Hunt thực sự là một người vô cùng quý giá. Nếu bạn là nhà phát triển ứng dụng web, không có lý do gì để không bảo vệ chống tấn công nhồi thông tin đăng nhập. Cách phòng thủ tốt nhất có lẽ là xác thực hai yếu tố, nhưng đối chiếu với cơ sở dữ liệu mật khẩu đã băm của Hunt cũng rất tốt và không đòi hỏi người dùng làm thêm gì”
    Bình luận đó tuy là từ 60 ngày trước nhưng đã nêu 23andMe [2] làm ví dụ, và vụ này cũng được nhắc đến trong bài của TechCrunch
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • Đến thời điểm này, có cảm giác công ty nào thu thập dữ liệu rồi cũng sẽ bị hack vào một ngày nào đó
    Vấn đề không phải là “có xảy ra không”, mà là khi nào xảy ra

    • Nếu không có lý do thật sự chính đáng, các site và ứng dụng nên bị áp chế tài đủ mạnh để không được thu thập gì ngoài địa chỉ email
      Muốn gửi tài liệu tiếp thị không phải là lý do chính đáng
    • Nếu chính phủ muốn nhận hoặc thay đổi dữ liệu, thì thậm chí không cần bị hack
    • Không phải vì tự bảo vệ bản thân là việc khó
      Mà vì đầu tư vào bảo mật thường không phải là ưu tiên kinh doanh
      Điều đó vận hành như vậy không chỉ với ban lãnh đạo mà cả với người thực thi, thông qua cưỡng chế và khuyến khích
      Phần lớn các vụ hack lớn kiểu này bắt nguồn từ những mối đe dọa đã biết rõ, có thể bị phát hiện chỉ bằng các đợt kiểm toán thông thường được thực hiện với thiện chí
  • “May mắn là giờ đây chúng tôi cung cấp dịch vụ giám sát bộ gen. Chỉ với $79.99/tháng, bạn sẽ nhận được thông báo mỗi khi có ai đó cố truy cập hồ sơ di truyền của mình!” — 23andMe

  • “Nếu chẳng có gì để giấu thì có gì phải sợ?”
    Tôi sợ những kẻ ngu ngốc ở các vị trí quyền lực
    Việc đối chiếu DNA như một kỹ thuật phá án vốn đã có rất nhiều vấn đề
    “Bằng chứng DNA không đáng tin cậy như nhiều người vẫn nghĩ”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “Lời hứa hão của xét nghiệm DNA”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “Bằng chứng DNA pháp y có thể dẫn đến kết án oan như thế nào”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/