Cuộc tấn công dữ liệu 23andMe: Tin tặc đánh cắp dữ liệu kiểu gen thô và báo cáo sức khỏe của khách hàng
Nhà cung cấp dịch vụ xét nghiệm di truyền 23andMe xác nhận rằng tin tặc đã đánh cắp các báo cáo sức khỏe và dữ liệu kiểu gen thô của khách hàng bị ảnh hưởng bởi một cuộc tấn công thông tin xác thực đã không được chú ý trong 5 tháng, từ ngày 29 tháng 4 đến ngày 27 tháng 9.
Thông tin xác thực mà kẻ tấn công sử dụng để xâm nhập tài khoản của khách hàng đã bị đánh cắp trong các vụ vi phạm dữ liệu khác hoặc được sử dụng trên các nền tảng trực tuyến bị xâm phạm trước đó.
Như công ty công nghệ sinh học và gen đã tiết lộ trong thư thông báo vi phạm dữ liệu gửi cho những người bị ảnh hưởng trong vụ việc, một số dữ liệu bị đánh cắp đã được đăng trên diễn đàn hack BreachForums và trang subreddit 23andMe không chính thức.
Thông tin bị rò rỉ bao gồm dữ liệu của 1 triệu người Do Thái Ashkenazi và 4,1 triệu người sống ở Anh.
Dữ liệu khách hàng 23andMe bị rò rỉ (BleepingComputer)
"Cuộc điều tra của chúng tôi đã xác định tác nhân đe dọa đã tải xuống hoặc truy cập dữ liệu kiểu gen thô không bị gián đoạn của bạn và có thể đã truy cập thông tin nhạy cảm khác trong tài khoản của bạn, chẳng hạn như các báo cáo sức khỏe nhất định có được từ việc xử lý thông tin di truyền của bạn, bao gồm báo cáo khuynh hướng sức khỏe, báo cáo sức khỏe, và báo cáo trạng thái nhà cung cấp dịch vụ", 23andMe tiết lộ.
“Trong phạm vi tài khoản của bạn chứa thông tin như vậy, tác nhân đe dọa cũng có thể đã truy cập thông tin về tình trạng sức khỏe tự báo cáo và thông tin trong cài đặt của bạn.”
Đối với những khách hàng cũng sử dụng tính năng Người thân DNA của 23andMe, có thể những kẻ tấn công cũng đã lấy được thông tin hồ sơ Người thân DNA và Cây gia phả của họ.
Họ cũng có thể có được khả năng hiển thị thông tin sau của khách hàng bị ảnh hưởng nếu được chia sẻ thông qua tính năng Người thân DNA:
- Báo cáo về gia phả và các phân đoạn DNA trùng khớp (cụ thể là vị trí trên nhiễm sắc thể của bạn và người thân của bạn có DNA trùng khớp),
- Vị trí tự báo cáo (thành phố/mã zip),
- Nơi sinh của các thành viên và tên gia đình,
- Ảnh hồ sơ, năm sinh và bất kỳ thông tin nào khác có trong phần "Giới thiệu bản thân" trong hồ sơ của họ
23andMe nói với BleepingComputer vào tháng 12 rằng tin tặc đã tải xuống dữ liệu của 6,9 triệu người trong số 14 triệu khách hàng hiện tại sau khi xâm phạm khoảng 14.000 tài khoản người dùng.
5,5 triệu cá nhân đã được quét dữ liệu thông qua tính năng Người thân DNA và 1,4 triệu thông qua tính năng Cây gia phả.
Vào ngày 10 tháng 10, khoảng một tuần sau khi phát hiện cuộc tấn công, 23andMe bắt đầu yêu cầu tất cả khách hàng đặt lại mật khẩu của họ.
Kể từ ngày 6 tháng 11, tất cả khách hàng mới và khách hàng hiện tại phải sử dụng xác thực hai yếu tố khi đăng nhập vào tài khoản của họ để chặn các nỗ lực điền thông tin xác thực trong tương lai.
Vụ việc năm ngoái cũng dẫn đến nhiều vụ kiện chống lại 23andMe, khiến công ty phải cập nhật Điều khoản sử dụng vào ngày 30 tháng 11 với các điều khoản khiến khách hàng gặp khó khăn hơn khi tham gia các vụ kiện tập thể chống lại 23andMe.
Một trong những bản cập nhật cho biết: “Trong phạm vi tối đa được luật hiện hành cho phép, bạn và chúng tôi đồng ý rằng mỗi bên chỉ có thể đưa ra tranh chấp chống lại bên kia với tư cách cá nhân chứ không phải là một vụ kiện tập thể hoặc hành động tập thể hoặc phân xử tập thể”.
Tuy nhiên, 23andMe cho biết những thay đổi này được bổ sung để giúp quá trình phân xử trở nên hiệu quả và dễ hiểu hơn đối với khách hàng.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA