23andMe xác nhận tin tặc đã đánh cắp dữ liệu tổ tiên của 6,9 triệu người dùng

 (techcrunch.com)
1 điểm bởi GN⁺ 2023-12-06 | 1 bình luận | Chia sẻ qua WhatsApp

Vụ tấn công 23andMe: xác nhận 6,9 triệu dữ liệu tổ tiên bị đánh cắp

  • Công ty xét nghiệm di truyền 23andMe cho biết tin tặc đã truy cập dữ liệu cá nhân của khách hàng, tiếp cận thông tin cá nhân của khoảng 14.000 người cùng một lượng lớn tệp chứa thông tin hồ sơ về tổ tiên của những người dùng khác.
  • Tin tặc đã truy cập thông tin cá nhân của khoảng 5,5 triệu người đã đồng ý với tính năng DNA Relatives của 23andMe; dữ liệu bị đánh cắp gồm tên, năm sinh, nhãn quan hệ họ hàng, tỷ lệ DNA chia sẻ với họ hàng, báo cáo tổ tiên và vị trí do người dùng tự khai báo.
  • Ngoài ra, khoảng 1,4 triệu người dùng cũng đã đồng ý với tính năng DNA Relatives bị truy cập thông tin hồ sơ cây gia đình, bao gồm tên hiển thị, nhãn quan hệ họ hàng, năm sinh, vị trí tự khai báo và trạng thái chia sẻ thông tin.

Quảng cáo dữ liệu rò rỉ trên diễn đàn hacker

  • Đầu tháng 10, một hacker đăng trên một diễn đàn hack nổi tiếng rằng đã đánh cắp thông tin DNA của người dùng 23andMe, công bố dữ liệu của 1 triệu người gốc Do Thái Ashkenazi và 100.000 người dùng Trung Quốc, đồng thời đòi từ 1 đến 10 USD cho dữ liệu từng tài khoản.
  • Sau đó, cùng hacker này tiếp tục rao bán thêm 4 triệu bản ghi trên chính diễn đàn đó, và TechCrunch phát hiện một hacker khác đã quảng cáo dữ liệu khách hàng 23andMe bị đánh cắp trên một diễn đàn hack riêng biệt từ hai tháng trước.
  • Dữ liệu bị rò rỉ từ vài tháng trước mà TechCrunch phân tích có những phần trùng khớp với hồ sơ của những người từng đăng thông tin di truyền của mình lên mạng như một sở thích, cho thấy dữ liệu mà hacker làm rò rỉ ít nhất một phần là dữ liệu thật của khách hàng 23andMe.

Rò rỉ dữ liệu do tái sử dụng mật khẩu

  • Trong thông báo công bố sự cố vào tháng 10, 23andMe cho biết vụ rò rỉ dữ liệu xảy ra do khách hàng tái sử dụng mật khẩu.
  • Tin tặc đã có thể dùng các mật khẩu bị lộ từ những vụ rò rỉ dữ liệu ở công ty khác để tấn công brute-force vào tài khoản của nạn nhân.
  • Do cách tính năng DNA Relatives ghép người dùng với họ hàng của họ, việc xâm nhập một tài khoản không chỉ cho phép xem dữ liệu cá nhân của chủ tài khoản mà còn cả dữ liệu cá nhân của người thân của họ, làm tăng số lượng nạn nhân.

Ý kiến của GN⁺

Điểm quan trọng nhất của bài viết này là dịch vụ xét nghiệm di truyền 23andMe đã gặp một vụ rò rỉ dữ liệu quy mô lớn. Sự việc cho thấy dữ liệu tổ tiên của khoảng 6,9 triệu người dùng đã bị tin tặc đánh cắp, tương đương gần một nửa số khách hàng của 23andMe. Vụ rò rỉ bắt nguồn từ việc tái sử dụng mật khẩu, một lần nữa nhắc lại tầm quan trọng của an ninh trực tuyến. Bài viết này đáng chú ý vì nó cho thấy thông tin di truyền cá nhân là loại dữ liệu nhạy cảm đến mức nào, và cách những thông tin đó có thể rơi vào tay kẻ xấu. Đây có thể trở thành cơ hội để nâng cao nhận thức của công chúng về quyền riêng tư dữ liệu và an ninh mạng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-12-06
Ý kiến trên Hacker News

  • Tầm quan trọng của quyền riêng tư

    • Chỉ ra rằng việc người thân sử dụng các dịch vụ như 23andMe và chia sẻ dữ liệu gen có thể ảnh hưởng đến việc lộ thông tin của chính mình.
    • Hy vọng rằng việc thu thập dữ liệu hành vi cũng có thể ảnh hưởng đến những người khác có cùng nền tảng chung.

  • Vấn đề cập nhật điều khoản sử dụng của 23andMe

    • Bản cập nhật điều khoản sử dụng được công bố vào dịp Lễ Tạ Ơn cấm kiện tập thể, yêu cầu quy trình không chính thức trong 60 ngày trước khi tiến hành pháp lý, và bắt buộc trọng tài ràng buộc.
    • Có vẻ như các luật sư của 23andMe đã tạo ra điều này khiến khách hàng trên thực tế hầu như không còn quyền pháp lý nào.

  • Câu hỏi về tương lai của quyền riêng tư

    • Các thuật toán machine learning đang phát triển theo hướng có thể nhận diện con người chỉ bằng dáng đi, và giải mã văn bản chỉ từ âm thanh bàn phím.
    • Bày tỏ rằng sẽ rất khó duy trì mức quyền riêng tư hợp lý hiện nay khi dùng dữ liệu công khai và các thuật toán tiên tiến.

  • Trải nghiệm được đề nghị tham gia chương trình phân tích DNA của bệnh viện

    • Bệnh viện đề nghị sẽ dùng các mẫu máu đã được thu thập trước đó để phân tích DNA.
    • Đây là một ví dụ cho thấy luật bảo vệ quyền riêng tư ở Mỹ trên thực tế gần như không tồn tại; ở châu Âu, họ không thể lưu mẫu mà không có sự đồng ý.

  • Nghi vấn rò rỉ dữ liệu của 23andMe

    • 14.000 tài khoản đã bị lộ trong một lần, và hacker đã truy cập thông tin cá nhân của 6,9 triệu người thông qua tính năng 'DNA Relatives'.
    • Điều này có nghĩa là mỗi tài khoản có trung bình thông tin về 492 người thân duy nhất.

  • Sự hoài nghi cá nhân về việc sử dụng dịch vụ 23andMe

    • Không cân nhắc sử dụng dịch vụ vì lo ngại chính phủ, chứ không phải hacker, sẽ dùng thông tin đó như thế nào.

  • Liên kết tin tức gần đây liên quan đến 23andMe

    • Cung cấp các liên kết tin tức về các vụ rò rỉ dữ liệu và hack liên quan đến 23andMe xảy ra vào tháng 12 và tháng 10 năm 2023.

  • Thảo luận về credential stuffing

    • Nhấn mạnh rằng các nhà phát triển ứng dụng web cần triển khai các biện pháp bảo vệ chống credential stuffing.
    • Đề cập rằng việc sử dụng cơ sở dữ liệu mật khẩu băm của Troy Hunt là một biện pháp phòng thủ tốt.

  • Khả năng các công ty thu thập dữ liệu bị hack

    • Bày tỏ quan điểm rằng mọi công ty thu thập dữ liệu cuối cùng rồi cũng sẽ bị hack.

  • Khả năng kiện tập thể của những người không dùng 23andMe

    • Đặt câu hỏi liệu một người có thể khẳng định quyền riêng tư của mình hay không ngay cả khi chính người thân của họ đã sử dụng 23andMe.