23andMe 遭遇多次数据泄露事件
23andMe 数据泄露频发:隐私安全严重受损
从8月初到10月,遗传学测试公司23andMe及其用户受到了关于数百万用户个人资料和基因数据记录的黑网帖子的困扰,这些信息是由黑客泄露或侵犯的。威胁行为者宣传了从泄漏中获取的各种数据记录的合集进行出售。
根据BleepingComputer的报告,基于23andMe的输入,威胁行为者通过凭证填充技术访问了公司部分用户账户,并获取了他们的DNA亲属匹配数据。根据23andMe称,DNA亲属功能允许参与者与亲属进行连接,通过参与者之间的DNA比对识别亲属和最近的共同祖先,然后用户可以下载他们的数据。
根据23andMe博客的说法,公司认为黑客通过注入来自其他侵犯的凭证来访问其用户账户。根据同一篇文章,23andMe没有任何迹象表明其系统存在数据安全事件,或者它是这些攻击中使用的账户凭证的来源。
在8月11日的DarkOwl博客文章中,一位使用Dazhbog化名的用户声称在Hydra黑网市场上出售了来自23andMe的1000万个DNA记录。该帖子称他们拥有超过300TB的数据,将以5000万美元的价格出售。DarkOwl是一家黑网情报供应商。根据DarkOwl博客的说法,Dazhbog声称窃取23andMe用户数据的方式是通过一家制药公司使用的API服务。Dazhbog在8月14日再次发布帖子,声称已将所有数据卖给了一名伊朗个人。Dazhbog之后再没有发帖。
关于Hydra Market在八月是否活跃,以及来自TechCrunch和DarkOwl的报道与BBC News报告中情报部门在四月份关闭了Hydra Market之间存在明显矛盾。但是,根据BBC的报道,执法部门害怕这并不能结束Hydra网络犯罪组织;除非他们能够找到并逮捕他们,否则他们可能会尝试建立一个新的平台。
根据TechCrunch文章和其分析,8月11日Hydra发布的数据集与10月初泄漏的某些用户记录相匹配。
据BleepingComputer文章称,10月2日,使用Addka72424别名的威胁行为者在数据库上发布了一条链接,该数据库据称包含来自基因检测公司23andMe的百万用户配置文件。Addka72424表示该链接来自用户Golem的早期帖子。
根据RecordedFuture帖子,10月3日,用户Golem在BreachForums网站上发布了700万个23andMe用户文件的数据库。发布的数据库中有30万条中国血统的记录和100万条Ashkenazi血统的记录。
据BleepingComputer文章称,在10月4日的帖子中,BreachForums的发布者Golem声称拥有的数据包括“定制的族群分组、个性化数据集、准确定位的起源估计、单倍群组详细信息、表型信息、照片、数百个潜在亲戚的链接,以及最重要的是原始数据配置文件。”23andMe的发言人确认了数据的有效性。
根据黑暗网络专家Luke Rodeheffer的说法,下载或购买被盗数据的威胁行为者可能针对族群进行仇恨诈骗、钓鱼、诈骗、身份盗窃等行为。他是Certified Information Systems Security Professional (CISSP)、AlphaCentauri Cyber创始人兼首席执行官,这是一家网络威胁情报和黑暗网络调查公司。
根据TechCrunch报道,威胁行为者Golem于10月17日发布了410万份额外的数据配置文件。根据BleepingComputer报道,新的BreachForums帖子涵盖了英国和德国的人士。根据DailyMail报道,该威胁行为者针对英国和德国是因为他们支持以色列。
11月2日,在请求评论时,Andy Kill,23andMe的传媒总监,重复了公司在博客上发布的声明。
在同一篇23andMe博客中,该公司表示用户应该使用双因素身份验证,并且不要重复使用其他网站的密码。该基因检测公司继续肯定它没有遭受数据泄漏,也没有内部系统或安全问题。
根据律师Alessandra Messing的说法,她是23andMe用户,受到了此次泄露事件的影响,23andMe没有承担应有的责任,考虑到它所收集和分析的敏感信息。
“这次违规事件有点不太顾及他人的感觉,然后又把责任转嫁给消费者,没有承担责任或者对此负有任何责任感,” Messing表示。
截至10月20日的一封信件,可以在Senate.gov上找到,来自参议员比尔·卡西迪(LA-R),他是参议院卫生、教育、劳工和养老委员会的高级委员和一名医生,他向23andMe首席执行官安妮·沃伊切基提出了关于此次违规事件的质询,并要求她在11月3日前作出回应。
参议员的问题涉及到了犹太裔和华裔顾客数据泄露的130万人次,并确认23andMe没有提供有关黑客首次在其系统中利用漏洞的日期或详细信息。参议员指出,这次泄露事件发生之际正值全球反犹太主义和反亚裔仇恨日益加剧的时候,罪犯可以获得更高的信息价格,增加潜在邪恶行为的威胁。卡西迪随后向23andMe提出了11个问题,询问他们如何保护用户信息以及泄露事件是如何发生的。
根据HealthcareInfoSecurity的报道,至少有16起美国集体诉讼针对23andMe的泄露事件提起。在集体诉讼《Tulchinsky v. 23andMe, inc》中,Reese LLP律师事务所表示,控告指控23andMe未能安全保护和保障原告和存储在被告信息网络中的级别可辨别信息( PII )。
“遗传测试公司23andMe有法律义务根据HIPAA、CCPA、GDPR等相关法规保护数据。根据法律义务,他们应向投资者披露可能影响投资可行性的事件和风险,” VISO TRUST首席执行官兼联合创始人Paul Valente表示,VISO TRUST是一家人工智能驱动的第三方网络安全风险管理公司。
“大规模的密码攻击,比如填充攻击和扫射攻击,并不是什么新鲜事;这些攻击方式几乎已经常见了十年。对于任何经验丰富的安全团队来说,这些攻击既不是意外的,也不是不可察觉的。” Valente说道。”虽然将少数账户的受损归咎于密码重用和随后的可见损失很容易,但如果导致百万账户暴露在密码填充攻击下,那将是潜在疏忽的明确迹象。”
根据Secure Compass安全软件设计公司的高级解决方案工程师Adhiran Thirmal的说法,无论消费者是否重复使用密码,公司是否对内部网络安全措施负责,必须根据具体案例由法院来判断。
目前还没有人确认威胁行为者填充到23andMe的凭据是否来自其他组织的违规事件。
关于集体诉讼案件,在通过https://dockets.justia.com/docket/california/candce/5:2023cv05369/419693获取的记录中,该案件于2023年10月19日在加利福尼亚北区美国地区法院提起。主审法官是苏珊·范·库伦(Susan van Keulen)。于10月20日,法院向23andMe公司发出传票。
案件管理陈述书截止日期为2024年1月16日,初步案件管理会议定于1月23日举行。
大卫·吉尔是一位专注于网络安全相关问题的记者。他的文章来源于美国俄亥俄州克利夫兰。
