23andMe账户的用户数据被泄露,并在一个暗网论坛上出售。
黑客很可能通过泄露的其他平台和服务的客户凭证收集数据。
23andMe发言人表示,没有迹象表明其系统存在数据安全问题。
NEW LOOK注册获取今日市场、科技和商业领域最重要新闻的内幕消息——每日提供。阅读预览广告
黑客声称可以获取23andMe潜在数百万用户的姓名、照片、出生细节和种族信息,并在暗网上兜售这些信息,以赚取数千美元。
据23andMe称,这些数据似乎是从之前数据泄露事件中暴露的用户凭证中收集的,该公司的安全系统尚未被攻破。
该公司的一位发言人告诉Insider网站:“调查的初步结果表明,这些访问尝试中使用的登录凭证可能是由威胁行为者从其他在线平台事件中泄露的数据中收集的,这些事件涉及用户回收登录凭证。”换句话说,黑客通过一种被称为“凭证填充”的技术,将泄露的用户名-密码组合插入23andMe账户。
该公司在Reddit上的一篇帖子中首次意识到这次攻击,该帖子似乎已被该平台删除。从那以后,黑客们就开始在网络犯罪市场breakhforums上兜售这些数据。
广告广告
本周早些时候,一名匿名卖家在breakachforums上宣传这些数据,称其包含“数百万人的DNA图谱,从世界顶级商业巨头到阴谋论中经常流传的王朝”,并指出每组数据还附带“相应的电子邮件地址”。据《连线》杂志报道,样本数据中包含了马克·扎克伯格、谢尔盖·布林和埃隆·马斯克等科技高管的信息,但不清楚这些信息是否合法。该公司的掌舵人是安妮·沃西基,她是YouTube前首席执行官苏珊·沃西基的妹妹,也是谢尔盖·布林的前妻。
卖家还提供资料捆绑包,从1000美元购买100个资料,一直到10万美元购买10万个资料,并指出,每批量购买1万个资料,他们将提供增量付款的灵活性。
同样被转发给X的另一篇breakachforums帖子指出,这些数据包含了“23andMe一半的会员”。该公司共有1400万用户,尚未确认受损用户账户的数量,并指出没有原始基因数据被共享。根据初步调查的结果,该公司认为,黑客获得的用户账户数量要少得多,但通过一项名为“DNA亲戚”的功能,他们设法获取了其他几个23andMe用户的数据。该功能允许用户联系并查看与他们共享“最近祖先”的其他用户的信息——他们定义的“最近祖先”在他们的网站上少于9代。
23andMe也没有证实这次袭击是否针对任何特定的种族群体。本周早些时候,BreachForums上的一篇帖子将数据样本吹捧为“100万德系犹太人数据库”,尽管据该公司称,一个人即使只有1%的犹太血统,也可以被归类为德系犹太人。23andMe还在其网站上指出,与亚洲或中东血统的人相比,拥有欧洲或德系犹太人血统的人可能通过DNA亲属功能有很多匹配。据《连线》报道,可能还有“数十万华裔用户”受到此次泄密事件的影响。
广告广告
成立于2006年的23andMe公司因其唾液测试而引起轰动,该测试可以测试遗传倾向、血统和遗传特征。该公司在征得用户同意的情况下与第三方共享匿名用户数据,并鼓励用户启用多因素身份验证,以防止进一步的攻击。
