- Ban đầu, số tài khoản bị xâm nhập trực tiếp được cho là khoảng 14.000, nhưng thông qua mạng lưới kết nối DNA Relatives, tổng số nạn nhân đã tăng lên 6,9 triệu người
- Khoảng 5,5 triệu người dùng đã chọn tham gia bị lộ tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với người thân, báo cáo tổ tiên và vị trí tự khai báo
- Riêng khoảng 1,4 triệu người khác bị truy cập thông tin hồ sơ Family Tree, bao gồm tên hiển thị, nhãn quan hệ, vị trí và việc có chia sẻ thông tin hay không
- 23andMe cho biết do khách hàng tái sử dụng mật khẩu, hacker có thể dùng mật khẩu bị rò rỉ từ các dịch vụ khác để truy cập tài khoản
- Việc một tài khoản bị xâm nhập kéo theo lộ thông tin của người thân được kết nối, khiến quy mô thiệt hại lên tới khoảng một nửa trong tổng số 14 triệu khách hàng mà 23andMe báo cáo
Vụ xâm phạm dữ liệu 23andMe tăng lên 6,9 triệu người
- 23andMe hôm thứ Sáu thông báo rằng hacker đã truy cập dữ liệu cá nhân của 0,1% khách hàng, khoảng 14.000 người
- Khi đó, công ty cho biết thông qua các tài khoản này, hacker cũng có thể truy cập “một số lượng đáng kể” tệp chứa thông tin tổ tiên của những người dùng khác, nhưng không công bố số “người dùng khác” bị ảnh hưởng
- Sau đó, người phát ngôn của 23andMe xác nhận tổng số nạn nhân là 6,9 triệu người
- Con số này tương đương khoảng một nửa trong tổng số 14 triệu khách hàng mà 23andMe báo cáo
Thông tin bị lộ từ DNA Relatives và Family Tree
- Khoảng 5,5 triệu người là người dùng đã chọn tham gia tính năng DNA Relatives của 23andMe
- Tính năng này cho phép khách hàng tự động chia sẻ một phần dữ liệu với người dùng khác
- Dữ liệu mà hacker truy cập bao gồm tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với người thân, báo cáo tổ tiên và vị trí tự khai báo
- Khoảng 1,4 triệu người dùng khác đã chọn tham gia DNA Relatives bị truy cập thông tin hồ sơ Family Tree
- Thông tin bao gồm tên hiển thị, nhãn quan hệ, năm sinh, vị trí tự khai báo và việc người dùng có chọn chia sẻ thông tin hay không
- Vì DNA Relatives có cấu trúc ghép nối người dùng với họ hàng, khi một tài khoản bị hack, dữ liệu cá nhân không chỉ của chủ tài khoản mà cả của người thân được kết nối cũng có thể bị lộ
- Cấu trúc kết nối này tạo ra phạm vi thiệt hại lớn hơn nhiều so với số tài khoản bị xâm nhập trực tiếp
Bài đăng trên diễn đàn hacker và manh mối về tính xác thực của dữ liệu
- Đầu tháng 10, một hacker tuyên bố trên một diễn đàn hacker nổi tiếng rằng đã đánh cắp thông tin DNA của người dùng 23andMe
- Để làm bằng chứng cho vụ xâm nhập, người này công bố dữ liệu được cho là của 1 triệu người dùng có nguồn gốc Do Thái Ashkenazi và 100.000 người dùng Trung Quốc
- Hacker này đề nghị bán dữ liệu với giá 1–10 USD cho mỗi tài khoản
- Hai tuần sau, cùng hacker đó quảng cáo trên cùng diễn đàn hacker dữ liệu được cho là thêm 4 triệu hồ sơ
- Trên một diễn đàn hacker khác, cũng có dấu hiệu cho thấy một gói dữ liệu được cho là dữ liệu khách hàng 23andMe đã được rao bán từ hai tháng trước quảng cáo được biết đến rộng rãi
- Khi phân tích dữ liệu bị rò rỉ từ vài tháng trước, một số hồ sơ trùng khớp với dữ liệu di truyền mà các nhà nghiên cứu nghiệp dư và nhà nghiên cứu phả hệ đã công khai trên mạng
- Hai tập dữ liệu có định dạng khác nhau, nhưng một số dữ liệu người dùng duy nhất và dữ liệu chung giống nhau
- Vì vậy, dữ liệu mà hacker làm rò rỉ có khả năng ít nhất một phần là dữ liệu khách hàng 23andMe thật
Nguyên nhân xâm nhập theo 23andMe
- Trong công bố về vụ xâm nhập hồi tháng 10, 23andMe chỉ ra nguyên nhân là việc khách hàng tái sử dụng mật khẩu
- Hacker có thể dùng mật khẩu bị lộ từ các vụ xâm phạm dữ liệu ở công ty khác để truy cập tài khoản nạn nhân bằng phương thức dò mật khẩu hàng loạt
- Việc truy cập được một tài khoản đã lan qua mạng lưới DNA Relatives và dẫn tới truy cập thông tin của người dùng khác, khiến phạm vi thiệt hại mở rộng đáng kể
1 bình luận
Các ý kiến trên Hacker News
Sự cố này là phản ví dụ hoàn hảo cho câu “Sao phải quan tâm đến quyền riêng tư dữ vậy? Tôi chia sẻ thì có ảnh hưởng gì đến bạn đâu, không thích thì đừng làm”
Nếu một người họ hàng tải thông tin bộ gen lên 23andMe, thông tin về tôi cũng bị lộ ra bất kể lựa chọn của tôi là gì
Hy vọng mọi người nhận ra điều này cũng áp dụng tương tự với việc thu thập dữ liệu hành vi của những người có cùng bối cảnh
Câu thường gặp hơn chỉ là “Sao phải quan tâm đến quyền riêng tư dữ vậy?”, và nhiều người ngay từ đầu đã không hiểu vì sao quyền riêng tư lại quan trọng
Ngay cả vụ này cũng khó trở thành một lập luận phản bác mạnh hơn các vụ rò rỉ khác, cho đến khi cho thấy thiệt hại thực tế
Tôi tò mò không biết bạn nghĩ điều gì sẽ thật sự xảy ra với những người bị đánh cắp dữ liệu liên quan đến tổ tiên lần này
Với 23andMe thì ít nhất khách hàng vẫn có thể quyết định có dùng dịch vụ hay không và cân nhắc lợi hại, nhưng Equifax thì bạn bị ép đưa vào một hệ thống chấm điểm ảnh hưởng từ việc xin vay cho đến xin việc, rồi họ hút dữ liệu do bên thứ ba bán để nắm giữ thông tin cá nhân của bạn
Sau vụ rò rỉ cũng không có biện pháp khắc phục nào thực sự hiệu quả; dù nguy cơ bị đánh cắp danh tính là rất cao, họ không thừa nhận sai sót mà chỉ cung cấp kiểu ‘giám sát tín dụng’ mang tính hình thức
Rốt cuộc, chính các cơ quan xếp hạng tín dụng gây ra vấn đề lại chia sẻ và phân phối thông tin khi chưa được đồng ý mà không phải chịu trách nhiệm gì
Tôi xem đó là một lập luận thiếu hiểu biết và tự hủy hoại, trong đó sự chủ quan coi nhẹ quyền riêng tư khiến cả người khác rơi vào tình thế tệ hơn
Tôi khó hình dung một mô hình quyền riêng tư có thể ngăn người khác chia sẻ thông tin của chính họ chỉ vì một phần thông tin đó trùng với tôi
Dữ liệu bị lộ có vẻ gần với dữ liệu phả hệ/họ hàng hơn
Dữ liệu bị đánh cắp được cho là bao gồm tên, năm sinh, nhãn quan hệ, tỷ lệ DNA chia sẻ với họ hàng, báo cáo tổ tiên và vị trí tự khai
Tương tự, có thể hỏi “Thu nhập của bạn là bao nhiêu?”, “Tôi đọc thư của bạn được không?”, “Tôi giữ chìa khóa nhà bạn được không?”
Có người thấy khó với các ý niệm trừu tượng, nhưng đưa nó về thế giới vật lý thì ai cũng hiểu ngay cảm giác khó chịu
Tôi tò mò chuyện này liên quan đến mức nào với thay đổi điều khoản sử dụng được gửi đúng vào ngày Lễ Tạ ơn, thời điểm hoàn hảo để bị chôn vùi trong hộp thư đến của mọi người
Thay đổi này tìm cách cấm kiện tập thể, buộc phải trải qua một quy trình “không chính thức” 60 ngày trước khi có hành động pháp lý, rồi đẩy người dùng vào trọng tài ràng buộc
Theo các điều khoản do luật sư của 23andMe soạn, với tư cách khách hàng thì về cơ bản bạn gần như không còn quyền pháp lý thực chất nào
Ít nhất ở Đức, những hợp đồng quá thiên vị một bên sẽ bị tòa tuyên vô hiệu
Tôi không rõ hệ quả của việc đó là gì
“Chúng tôi khuyến nghị bạn đọc toàn bộ điều khoản mới. Nếu không đồng ý với điều khoản, vui lòng thông báo cho chúng tôi trong vòng 30 ngày kể từ ngày nhận được email này. Khi đó, điều khoản dịch vụ hiện tại sẽ tiếp tục được áp dụng. Nếu bạn không thông báo trong vòng 30 ngày, bạn sẽ được xem là đã đồng ý với điều khoản mới.”
Email thông báo: legal@23andme.com
Tôi tự hỏi liệu có ai nghĩ rằng trong tương lai vẫn có thể duy trì quyền riêng tư theo nghĩa thực chất hay không
Các thuật toán học máy đang học cách nhận diện người chỉ bằng dáng đi mà không cần nhận diện khuôn mặt, và cũng đang tiến tới việc giải mã văn bản nhập vào chỉ dựa trên âm thanh gõ bàn phím
Nếu có đầy đủ manh mối tổng thể từ mọi dữ liệu công khai và các thuật toán đủ phát triển, liệu có cách nào để duy trì mức riêng tư mà ngày nay chúng ta coi là hợp lý, mà không phải áp dụng đầy đủ mọi biện pháp cực đoan hay không?
Tôi không định đưa ra phán xét giá trị, chỉ là xu hướng đang diễn ra trông có vẻ như vậy
Nếu cứ ngồi yên thì họ sẽ thắng, nhưng nếu thảo luận công khai thì ít nhất vẫn có khả năng đặt ra được các cơ chế bảo vệ
Tất nhiên, nói thật thì mọi thứ đã hỏng hết rồi và EvilCorp sẽ thắng, nên có thể chúng ta chỉ đang tốn năng lượng để chiến đấu rồi tự khiến mình phát điên
Kháng cự là vô ích
Lý do là các công ty như Fortinet muốn tạo ra “người gác cửa tự động”, đặt camera ở lối vào căn hộ hoặc chung cư để quét và phân tích người đi ngang qua
Tôi hầu như không thấy ý thức đạo đức nào từ những người liên quan
Điều cần thiết là một đạo luật mạnh mẽ ghi rõ quyền được lãng quên
Tôi không cho rằng bản thân việc tự động hóa nhận diện là sai về bản chất, nhưng việc các công ty cố nhận diện mọi con người có thể nhận diện được mà không có sự đồng ý là cực kỳ sai
Câu trả lời cho “tại sao anh/chị muốn giấu thông tin này” rốt cuộc quy về nỗi sợ rằng “[một cá nhân hay nhóm nào đó] có thể dùng [dữ liệu riêng tư] để tạo ra [kết quả xấu] đối với tôi”
Điều mọi người thực sự quan tâm không phải là bản thân dữ liệu, mà là nguy cơ xảy ra kết quả xấu
Nếu xu hướng này là đúng, trọng tâm nên là ngăn chặn sự mất cân bằng quyền lực bất đối xứng trong các giao dịch xã hội có thể tạo ra những kết quả xấu đó
Trước đây chỉ nghĩ tới việc tài liệu mật bị rò rỉ thôi cũng đủ khiến tôi phát điên, nhưng sau khi thấy dữ liệu cá nhân bị xử lý bê bối đến mức nào, tôi nhận ra đó gần như là chuyện chắc chắn
Ngay cả ở Úc, nơi luật về quyền riêng tư tương đối tốt, vụ hack lớn của Optus đã khiến khoảng một nửa dân số bị đánh cắp thông tin thẻ tín dụng, còn vụ hack Medibank làm lộ thông tin của rất nhiều khách hàng bảo hiểm y tế tư nhân
Khi nộp hồ sơ vay thế chấp mua nhà, tôi phát hiện ngay cả các môi giới thế chấp nhỏ trong khu cũng nhận hàng trăm đến hàng nghìn tài liệu định danh nhạy cảm qua email mỗi năm, và cũng không xóa chúng sau khi giao dịch kết thúc
Nhiều công ty ở Úc xác minh danh tính chỉ bằng tên, địa chỉ và ngày sinh, những thứ thường có thể tìm ra dễ dàng sau 5 phút tìm kiếm
Tôi đã đặt PIN cho tài khoản Telstra trong nhiều năm để ngăn thay đổi quản trị, nhưng một ngày nọ khi gọi điện, họ xử lý luôn mà thậm chí không hỏi mật khẩu
Tôi nghĩ cách duy nhất để quyền riêng tư được tôn trọng là buộc công ty, tức nạn nhân thực sự, phải chịu trách nhiệm về gian lận
Câu đùa cũ rằng “danh tính bị đánh cắp” thực ra không phải là danh tính bị đánh cắp, mà là quy trình xác minh của công ty đã thất bại rồi họ đổ trách nhiệm để tránh chịu tổn thất
Vì vậy dạo này tôi chỉ dùng thẻ tín dụng
Vì nếu có giao dịch gian lận, tôi có thể yêu cầu hoàn tiền qua chargeback, và đó gần như là cơ chế duy nhất có thể thực sự ngăn việc truy cập trái phép vào tiền của tôi
Gần đây tôi gặp một chuyện khá rợn người
Một bệnh viện tôi từng đến vài tháng trước gọi điện, đề nghị tôi tham gia chương trình phân tích DNA
Họ nói: “Điểm hay nhất là anh/chị không cần làm gì cả. Chúng tôi có thể dùng mẫu máu đã lấy lần trước”
Tất nhiên tôi từ chối, nhưng việc họ lưu giữ một mẫu sinh học gắn với tôi mà không hề thông báo, rồi còn có thể phân tích DNA sau đó, thật không thể chấp nhận được
Điều đó khiến tôi cảm giác như đây là bằng chứng cho thấy luật về quyền riêng tư ở Mỹ về cơ bản không tồn tại
Ở EU, không thể đông lạnh và lưu trữ mẫu mà không có sự đồng ý, còn mẫu không đông lạnh cũng chỉ được phép giữ trong khoảng vài ngày
Bài viết trên Wikipedia chỉ có tiếng Thụy Điển
Như có thể dự đoán, hoặc cũng khá thú vị, cảnh sát trước đây không được truy cập dữ liệu này, cho đến sau khi một bộ trưởng chính phủ bị sát hại năm 2003 thì họ lấy được mẫu của nghi phạm
Theo những gì được biết, sau đó dữ liệu này chưa từng được sử dụng nữa
Có thể nhìn nhận một cách hoài nghi, nhưng cho đến nay việc cảnh sát sử dụng sổ đăng ký này chưa trở thành thông lệ và vẫn do tòa án kiểm soát
Vậy chẳng phải như thế là vẫn có luật về quyền riêng tư sao?
Có thể đó chỉ là một bước trong quy trình dọn dẹp các kết quả hoặc mẫu cũ
Có gì đó không khớp
“23andMe nói vụ rò rỉ dữ liệu xảy ra do khách hàng tái sử dụng mật khẩu”, nhưng nếu 14.000 tài khoản bị xâm nhập cùng lúc thì những mật khẩu đó đến từ đâu?
Có phải đã có một vụ rò rỉ liên quan khác như LastPass không?
Ngoài ra, nếu hacker đã truy cập thông tin cá nhân của 6,9 triệu người thông qua tính năng “DNA Relatives”, thì nghĩa là mỗi tài khoản trong số 14.000 tài khoản ban đầu bị xâm nhập có khoảng 492 người thân riêng biệt
Tôi đang bỏ sót điều gì?
Kẻ tấn công có thể đã thu thập dữ liệu bằng một mạng phân tán quy mô lớn, nhưng khả năng cao là ngay từ đầu đã không có cơ chế phát hiện hay bảo vệ
Tuy nhiên, khi tôi đăng nhập để kiểm tra số lượng người thân trong tài khoản của mình, 23andMe đã chặn đăng nhập và yêu cầu đặt lại mật khẩu với lý do tái sử dụng mật khẩu
Tôi luôn dùng một mật khẩu rất mạnh cho tài khoản này, chưa từng tái sử dụng ở đâu, và cũng đã bật xác thực hai yếu tố
Có vẻ chính công ty cũng không hoàn toàn thoải mái với lời giải thích rằng nguyên nhân là mật khẩu bị tái sử dụng
Sau khi đặt lại mật khẩu mà tôi chưa từng tái sử dụng, tôi kiểm tra thì bảng DNA Relatives có 60 trang, mỗi trang hiển thị 25 người, tổng cộng có thể lấy được 1.500 người thân
Nếu quét dữ liệu này từ 14.000 tài khoản ngẫu nhiên thì có thể tạo ra một mạng lưới khá lớn
Các danh sách lớn tổng hợp nhiều vụ rò rỉ mật khẩu trong quá khứ có sẵn công khai, không chỉ kẻ tấn công mà gần như ai cũng dễ tiếp cận
Trong hơn 14 triệu người dùng, việc 14.000 người, tức 0,1%, tái sử dụng mật khẩu đã bị rò rỉ ở nơi khác là hoàn toàn hợp lý
Nhất là nếu không chủ động phát hiện và vô hiệu hóa các mật khẩu đó, như cuộc thảo luận HN hôm qua về công việc của Troy Hunt
Nếu tên người dùng và mật khẩu bị rò rỉ từ 23andMe, thì đó không phải là vấn đề tái sử dụng, mà chỉ là tìm được danh sách thông tin đăng nhập của 23andMe rồi bẻ khóa
Việc có 14.000 người dùng 23andMe trùng trong danh sách rò rỉ của website khác hoặc danh sách tổng hợp từ nhiều vụ rò rỉ hoàn toàn không có gì đáng ngạc nhiên
Tìm nhanh thì 23andMe có 14 triệu khách hàng, và 14.000 tài khoản bị rò rỉ tức là 1 trong 1.000 tài khoản bị xâm nhập
Danh sách người thân DNA của tôi hiển thị hơn 1.500 người một chút
Nếu mỗi tài khoản có xác suất bị hack là 1/1000, thì xác suất không ai trong số người thân của tôi bị hack là (1-1/1000)^1500 = 0,223
Xác suất có ít nhất một người thân bị hack là 0,777
Nếu giả định tôi là người dùng trung bình, thì dự kiến sẽ có khoảng 10,8 triệu người có người thân là tài khoản bị hack, con số này có vẻ đủ gần với 6,9 triệu
Tôi chưa từng nghiêm túc nghĩ đến việc dùng 23andMe
Không phải vì hacker, mà vì chính phủ sẽ dùng thông tin đó như thế nào
Tôi không muốn chịu trách nhiệm cho việc một người họ hàng ngẫu nhiên bị nghi phạm chỉ vì tôi tò mò về gia phả
Tôi hiểu rõ các lo ngại về quyền riêng tư và thông tin định danh cá nhân, nhưng với tôi, nó chắc chắn đáng giá vì giúp tôi hiểu rõ hơn mình là ai và tìm được những người thân đã chào đón tôi rất nồng ấm
Cuối cùng thì đó là một sự đánh đổi
Nếu có thể làm xét nghiệm rồi sau khi gửi kết quả, dữ liệu xét nghiệm và thông tin phía công ty bị hủy, hoặc có thể dùng xét nghiệm tại nhà mà dữ liệu không rời khỏi nhà, thì tôi sẽ làm
Tôi khó hiểu vì sao các công ty lại tiếp tục lưu giữ loại dữ liệu này
Đó là một gánh nặng trách nhiệm khổng lồ
Trong trường hợp này có thể là vì tính năng xác định quan hệ họ hàng, nhưng tôi nghi ngờ liệu tính năng đó có đáng để chấp nhận rủi ro hay không
Những vụ án tôi từng thấy được giải quyết bằng công nghệ này đều là những việc mà nếu việc tôi làm giúp ngăn chặn người làm điều cực kỳ tồi tệ, tôi sẵn lòng thấy mừng vì điều đó
Cứ tưởng tượng nếu họ có được cơ sở dữ liệu thông tin di truyền thì họ đã làm gì
Tình cờ hôm qua tôi đọc được một bình luận rất hay của adameasterling ở một luồng khác về tấn công nhồi thông tin đăng nhập [1]
Nội dung là: “Troy Hunt thực sự là một người vô cùng quý giá. Nếu bạn là nhà phát triển ứng dụng web, không có lý do gì để không bảo vệ chống tấn công nhồi thông tin đăng nhập. Cách phòng thủ tốt nhất có lẽ là xác thực hai yếu tố, nhưng đối chiếu với cơ sở dữ liệu mật khẩu đã băm của Hunt cũng rất tốt và không đòi hỏi người dùng làm thêm gì”
Bình luận đó tuy là từ 60 ngày trước nhưng đã nêu 23andMe [2] làm ví dụ, và vụ này cũng được nhắc đến trong bài của TechCrunch
[1] https://news.ycombinator.com/item?id=38521106
[2] https://news.ycombinator.com/item?id=37794379
Đến thời điểm này, có cảm giác công ty nào thu thập dữ liệu rồi cũng sẽ bị hack vào một ngày nào đó
Vấn đề không phải là “có xảy ra không”, mà là khi nào xảy ra
Muốn gửi tài liệu tiếp thị không phải là lý do chính đáng
Mà vì đầu tư vào bảo mật thường không phải là ưu tiên kinh doanh
Điều đó vận hành như vậy không chỉ với ban lãnh đạo mà cả với người thực thi, thông qua cưỡng chế và khuyến khích
Phần lớn các vụ hack lớn kiểu này bắt nguồn từ những mối đe dọa đã biết rõ, có thể bị phát hiện chỉ bằng các đợt kiểm toán thông thường được thực hiện với thiện chí
“May mắn là giờ đây chúng tôi cung cấp dịch vụ giám sát bộ gen. Chỉ với $79.99/tháng, bạn sẽ nhận được thông báo mỗi khi có ai đó cố truy cập hồ sơ di truyền của mình!” — 23andMe
“Nếu chẳng có gì để giấu thì có gì phải sợ?”
Tôi sợ những kẻ ngu ngốc ở các vị trí quyền lực
Việc đối chiếu DNA như một kỹ thuật phá án vốn đã có rất nhiều vấn đề
“Bằng chứng DNA không đáng tin cậy như nhiều người vẫn nghĩ”
https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
“Lời hứa hão của xét nghiệm DNA”
https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
“Bằng chứng DNA pháp y có thể dẫn đến kết án oan như thế nào”
https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/