Hakeri su iskoristili mogućnosti funkcije DNA Relatives, pristupajući podacima o rođenju i porijeklu pogođenih korisnika.
Širina hakerskog napada na genetičke podatke
Hakeri su nedavno izveli masivno probijanje kod 23andMe, istaknute kompanije u industriji genetičkog porijekla, koje je pogodilo impresivnih 6.9 miliona korisničkih računa - skoro polovinu ukupnog broja korisnika od 14 miliona. Prvobitni podaci su bili da je otprilike 14,000 računa podleglo neovlaštenom pristupu.
23andMe je kompanija za genetičko i zdravstveno testiranje koja pruža pojedincima priliku da istraže svoje porijeklo i genetičke karakteristike putem jednostavnog testa DNK.
Korisnici šalju uzorak pljuvačke, koji se analizira kako bi pružio uvid u njihovo etničko porijeklo, porodične veze i potencijalne genetičke sklonosti ka određenim zdravstvenim stanjima.
Kompanija koristi ove podatke kako bi generisala izvještaje o porijeklu, genetičim rizicima za zdravlje, statusu nosioca određenih bolesti i drugim karakteristikama pod uticajem genetike.
Međutim, napad je bio mnogo širih razmjera, obuhvatajući podatke iz dvije različite grupe korisnika koji su koristili DNA Relatives funkciju. Ovaj interaktivni alat dizajniran je da poveže pojedince sa izgubljenim genetičkim srodnicima. Korisnici koji se prijave za ovu funkciju nude lične informacije poput godine rođenja, lokacije, poznatih imena predaka i lokacija rođenja.
Ova funkcija je nenamjerno postala „ulazna vrata” hakera. Oko 5,5 miliona korisnika automatski je bilo prijavljeno za DNA Relatives. Manja grupa od 1,4 miliona korisnika dijelila je samo „Family tree profile information”, uključujući godinu rođenja, prikazna imena i oznake veza. Hakeri su ukrali privatne podatke o porijeklu svih korisnika u obje grupe.
Hakeri su prvo direktno pristupili 14,000 računa korištenjem tehnike nazvane „credential stuffing”. To uključuje iskorištavanje privatnih informacija koje su izložene tokom prethodnih probijanja podataka.
Mnogi ljudi koriste ista korisnička imena i lozinke na različitim platformama, pa ako su ovi sigurnosni detalji već ranije procurili, mogu se koristiti za pristup računu na 23andMe ako slučajno koristite iste prijavne podatke.
U oktobru, haker je na internetu objavio post na forumu tvrdeći da posjeduje podatke o milion korisnika aškenaskog porijekla i 100,000 kineskih korisnika iz 23andMe. Haker je oglašavao prodaju ove baze podataka po cijeni od 1 do 10 dolara po podacima po pojedinačnom računu.
Odgovor kompanije
Napori kompanije da se ublaže posljedice bili su raznovrsni. 23andMe je pokrenuo obavijesti svim pogođenim korisnicima, iako je kašnjenje u otkrivanju preciznih brojeva izazvalo sumnju. Kompanija tvrdi da jača sigurnost računa propisivanjem resetovanja lozinki i uvođenjem dvostepene verifikacije kako za postojeće tako i za nove korisnike.
Cijeli opseg utjecaja ovog probijanja ostaje neizvjestan, zajedno s potencijalnim pravnim i financijskim posljedicama. Istovremeno, 23andMe aktivno radi na jačanju protokola cyber sigurnosti i umirivanju korisnika u vezi s poboljšanim mjerama zaštite.
Ovo probijanje postavlja pitanja o ranjivosti osjetljivih informacija, kao što su podaci o genomu, u digitalnom dobu.
