基因檢測公司23andMe證實駭客竊取了690萬用戶的祖先數據
週五,基因檢測公司23andMe 宣布,駭客直接存取了其0.1% 客戶的個人數據,約14,000 人。該公司還表示,透過存取這些帳戶,駭客還能夠存取”大量包含其他用戶祖先檔案資訊的文件”。但23andMe 並未透露有多少”其他用戶”受到了該公司最初於10 月初披露的漏洞的影響。事實證明,有很多”其他用戶”是這次資料外洩事件的受害者: 總共有690 萬人受到影響。
![46472076285_47e14ae2b1_b.jpg](https://i0.wp.com/static.cnbetacdn.com/article/2023/1205/a2e60dbdad3e1f6.jpg?w=640&ssl=1)
23andMe 發言人凱蒂-沃森(Katie Watson)在周六晚些時候發送給TechCrunch 的一封電子郵件中證實,駭客獲取了約550 萬人的個人信息,這些人選擇了23andMe 的DNA相關查詢功能,該功能允許用戶自動與他人共享部分數據。被竊取的數據包括個人姓名、出生年份、關係標籤、與親屬共享的DNA 比例、祖先報告和自我報告的位置。
發言人說,23andMe 還證實,另一批選擇加入DNA Relatives 的約140 萬人的”家庭樹檔案信息也被訪問”,其中包括顯示姓名、關係標籤、出生年份、自我報告的地點以及用戶是否決定共享其資訊。(23andMe聲明其電子郵件的部分內容為”背景資訊”,要求雙方事先同意相關條款)。
暫不清楚23andMe 為什麼沒有在周五披露這些數據。考慮到新加入的數據,實際上,這起資料外洩事件影響到23andMe 總共1,400 萬客戶中的大約一半。
10 月初,一名駭客在知名駭客論壇上發帖,聲稱竊取了23andMe 用戶的DNA 資訊。作為漏洞的證據,該駭客公佈了據稱是100 萬名猶太阿什肯納茲後裔用戶和10 萬名中國用戶的數據,並要求潛在買家以每個個人帳戶1 到10 美元的價格購買這些數據。兩週後,同一駭客在同一駭客論壇上公佈了另外400 萬人的所謂紀錄。
隨後,另一名駭客在另一個駭客論壇上發布了一批據稱被盜的23andMe客戶資料的廣告,而這一廣告早在被廣泛報導的兩個月前就已經發布了。
當分析幾個月前洩漏的數據時不難發現一些記錄與業餘愛好者和家譜學家在網路上公佈的基因數據相吻合。兩組資訊格式不同,但包含一些相同的唯一用戶和通用數據,這表明駭客洩露的數據至少部分是真實的23andMe 客戶數據。
23andMe 在今年10 月披露這起事件時表示,資料外洩是由於客戶重複使用密碼造成的,這使得駭客可以利用其他公司資料外洩事件中公開的密碼對受害者的帳號進行暴力破解。由於DNA Relatives 功能可以將使用者與其親屬進行匹配,駭客透過入侵一個個人帳戶,就可以看到帳戶持有人及其親屬的個人數據,這就放大了23andMe 受害者的總人數。