Công ty xét nghiệm di truyền 23andMe đang điều tra một vụ vi phạm dữ liệu làm lộ thông tin khách hàng, bao gồm ảnh hồ sơ, năm sinh và thông tin chi tiết về tổ tiên của hàng triệu người dùng.
Dữ liệu bị xâm phạm có được thông qua việc truy cập trái phép vào các tài khoản 23andMe cá nhân, công ty cho biết trong một tuyên bố được báo cáo bởi Ars Technica.
Kết quả sơ bộ cho thấy thông tin đăng nhập được sử dụng để truy cập vào tài khoản “có thể đã được một kẻ đe dọa thu thập từ dữ liệu bị rò rỉ trong các sự cố liên quan đến các nền tảng trực tuyến khác nơi người dùng sử dụng lại thông tin đăng nhập”.
Kỹ thuật này, được gọi là nhồi thông tin xác thực, liên quan đến việc sử dụng tên người dùng và mật khẩu bị lộ trong các lần vi phạm trước đó để đột nhập vào các tài khoản trực tuyến khác.
Following a claim that someone had gained access to and is selling certain 23andMe customer data, we conducted an investigation. We have not identified any unauthorized access to our systems. We will continue to monitor the situation.
— 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe cho biết trong một bài đăng trên blog rằng họ không có bằng chứng nào về sự vi phạm thực sự đối với hệ thống của mình.
Công ty viết:
“Tại thời điểm này, chúng tôi không có bất kỳ dấu hiệu nào cho thấy đã xảy ra sự cố bảo mật dữ liệu trong hệ thống của chúng tôi”.
Theo Wired, vi phạm đặc biệt nhắm vào người dùng di sản Do Thái Ashkenazi. Tin tặc đã đăng một mẫu dữ liệu ban đầu trên nền tảng BreachForums vào đầu tuần này, tuyên bố rằng nó chứa 1 triệu điểm dữ liệu dành riêng cho người Do Thái Ashkenazi.
Dữ liệu có được bằng cách thu thập thông tin hồ sơ của những người thân được kết nối thông qua tính năng “Người thân DNA” của 23andMe, cho phép khách hàng kết nối với các kết quả trùng khớp về gen trên nền tảng.
Bằng cách truy cập vào các tài khoản bị xâm nhập, tin tặc có thể tích lũy hồ sơ của những người dùng có liên quan đã chọn chia sẻ thông tin của họ.
23andMe giải thích trong bài đăng trên blog của mình:
“Chúng tôi tin rằng kẻ đe dọa có thể đã vi phạm điều khoản dịch vụ của chúng tôi, truy cập tài khoản 23andme.com mà không được phép và lấy thông tin từ các tài khoản đó”.
Trên các diễn đàn hack tuần trước, một người dùng không rõ danh tính đã quảng cáo việc bán dữ liệu người dùng 23andMe, tuyên bố đã lấy được thông tin của hơn 7 triệu khách hàng.
Theo BleepingComputer, dữ liệu bị rò rỉ bao gồm “tên đầy đủ, tên người dùng, ảnh hồ sơ, giới tính, ngày sinh, kết quả di truyền tổ tiên và vị trí địa lý”.
Một người dùng diễn đàn khác được cho là đã cung cấp quyền truy cập hàng loạt vào hồ sơ 23andMe, với mức giá dao động từ 1 đến 10 USD cho mỗi tài khoản.
23andMe không tiết lộ thông tin chi tiết về số lượng người dùng bị ảnh hưởng hoặc mức độ rò rỉ dữ liệu.
Nhưng theo Ars Technica, một cơ sở dữ liệu chứa 1 triệu khách hàng thuộc di sản Do Thái Ashkenazi, trong khi cơ sở dữ liệu thứ hai chứa 300,000 hồ sơ người dùng gốc Trung Quốc.
Các chuyên gia bảo mật đã nhiều lần trích dẫn những rủi ro của việc dữ liệu di truyền bị xâm phạm.
Trung tâm An ninh và Phản gián Quốc gia Hoa Kỳ cảnh báo vào tháng 2 năm 2021.
“DNA của bạn là thứ quý giá nhất mà bạn sở hữu. Nó lưu giữ những chi tiết sâu sắc nhất về quá khứ, hiện tại và tương lai tiềm năng của bạn – cho dù bạn có dễ bị nghiện hay có nguy cơ cao mắc bệnh ung thư hay không”.
Trung tâm tiếp tục:
“Mất DNA của bạn không giống như mất thẻ tín dụng. Bạn có thể yêu cầu một thẻ tín dụng mới, nhưng bạn không thể thay thế DNA của mình. Việc mất DNA không chỉ ảnh hưởng đến bạn mà còn ảnh hưởng đến người thân của bạn và có thể là cả các thế hệ mai sau.”
23andMe cho biết họ đã báo cáo hành vi vi phạm với cơ quan thực thi pháp luật và khuyến khích khách hàng đặt lại mật khẩu cũng như kích hoạt xác thực hai yếu tố.
23andMe cho biết:
“Chúng tôi chủ động và thường xuyên giám sát và kiểm tra hệ thống của mình để đảm bảo rằng dữ liệu của bạn được bảo vệ.
Khi chúng tôi nhận được thông tin thông qua các quy trình đó hoặc từ các nguồn khác cho rằng dữ liệu khách hàng đã bị các cá nhân trái phép truy cập, chúng tôi sẽ ngay lập tức điều tra để xác thực xem thông tin này có chính xác hay không.”
Công ty xét nghiệm di truyền, cung cấp những hiểu biết sâu sắc về rủi ro sức khỏe và tổ tiên dựa trên phân tích DNA, đã tích lũy dữ liệu di truyền của hơn 14 triệu khách hàng kể từ khi thành lập vào năm 2006.
23andMe cho biết dữ liệu bị rò rỉ không chứa bất kỳ chi tiết nào về gen. Nhưng những người ủng hộ quyền riêng tư từ lâu đã nêu lên mối lo ngại về tính nhạy cảm của kết quả phân tích DNA và dữ liệu về chủng tộc có thể bị xâm phạm do vi phạm.
Vụ vi phạm 23andMe xảy ra trong bối cảnh làn sóng tấn công mạng lớn làm lộ thông tin nhạy cảm của người dùng. Theo công ty bảo mật kỹ thuật số Surfshark, năm ngoái, tổng cộng 10.9 triệu tài khoản đã bị rò rỉ, với 10 tài khoản bị rò rỉ mỗi giây.
Tin Tức Bitcoin tổng hợp.