カジノサイト

23andMe ユーザーの半数がクレデンシャル スタッフィング攻撃の影響を受ける

遺伝子検査会社 23andMe は、大規模なデータ侵害に動揺しています。ハッカーは、同社の顧客ベースの約半数に当たる約 690 万人のユーザーの個人情報にアクセスできました。古いパスワード、家系図、誕生年、地理的位置などのデータが盗まれます。 DNA 記録は影響を受けなかったと同社は述べた。

同社は、攻撃者がユーザーのプロフィール情報を持っているとオンラインで主張したことを受けて、10 月に調査を開始しました。 12 月 1 日、同社は次のことを認めました。(SEC) ハッカーはユーザー アカウントの 0.1% にアクセスしたが、悪意のある攻撃者はそのアクセスを利用して広範囲のデータを収集できたと報告しています。 DNA Relatives と呼ばれる機能を通じて、どのアカウントでも遺伝的に一致する可能性のある他のアカウントを検索できるため、1 つのアカウントで何千もの他のアカウントが表示される可能性があります。

盗まれ収集されたデータの初期のバッチの 1 つが、ユダヤ人の祖先を持つ 999,999 人のリストとしてハッキング フォーラムで宣伝された、NBC ニュース、現在の状況において標的型攻撃に対する懸念を引き起こしました。反ユダヤ主義と憎しみに満ちたレトリックハマス・イスラエル戦争中。

バイオテクノロジー企業自体はハッキングされなかったが、サイバー犯罪者が使用した以前に公開された電子メールとパスワードの詳細約 14,000 の個人アカウントからシステムにアクセスし、脆弱なアカウントからデータをダウンロードし、ウェブサイトの家系図全体で閲覧できる他のすべてのユーザー アカウントから情報をスクレイピングします。.

このタイプの攻撃は、攻撃者が以前のデータ侵害で取得した資格情報を使用して、他の無関係なサービスへのログインを試みる場合、資格情報スタッフィングとして知られています。

「多くのユーザーが同じパスワードとユーザー名/電子メールを再利用するため、これらの資格情報が (データベース侵害やフィッシング攻撃などによって) 公開された場合、盗んだこれらの資格情報のセットを他の数十または数百のサイトに送信すると、攻撃者がそれらのアカウントも侵害する可能性があります。」 の説明によると、。クレデンシャル スタッフィングは、特に 2 要素認証などの他のセキュリティ対策が講じられていない場合に、アカウントを乗っ取るために使用される最も一般的な手法の 1 つです。

23andMe の SEC 提出書類によると、「認証情報が詰め込まれたアカウントで脅威アクターがアクセスした情報はユーザー アカウントによって異なり、一般に祖先情報、およびこれらのアカウントのサブセットについてはユーザーの遺伝学に基づく健康関連情報が含まれていました。認証情報が詰め込まれたアカウントへのこのアクセスを利用して、脅威アクターは他のユーザーのプロフィール情報を含む多数のファイルにもアクセスしました」当社は、この修正案の提出日 [2023 年 12 月 1 日] の時点で、このようなユーザーが共有することを選択し、オンラインで公開した情報を削除するよう取り組んでいます。」

侵害の後、23andMe はすべてのユーザーにパスワードのリセットを強制し、2 要素認証を要求し始めました。 Ancestry や MyHeritage など、他の祖先追跡サイトも、この侵害を受けて、サイト上で多要素認証を推進または要求し始めました。.

一方、法的措置が進行中です。集団訴訟案がカナダのブリティッシュコロンビア州で起こされ、数千人のカナダ人が参加を求めていると弁護士セージ・ネマトラヒ氏。訴訟では、23andMe が適切なデータ保持および保護慣行を実装および維持せず、「故意、故意、または無謀な行為」に関与したと主張しています。

「その結果、彼らは管理、保管、または所有している非常に機密性の高い非常に価値のある顧客データを無許可の当事者やサイバー犯罪者に積極的に暴露した」と訴状は述べています。

その間、23andMe はそのを変更しています紛争解決と仲裁に関連し、「あらゆる紛争の迅速な解決を促進」し、「複数の同様の申し立てが提起された場合の仲裁手続きを合理化する」。ユーザーは通知から 30 日以内に新しい規約をオプトアウトできます。有線メモしました。