Сообщения о хакерской атаке на биотехнологическую компанию 23andMe пополняются новыми подробностями. Представители компании подтвердили, что хакер получил доступ к данным генетических исследований в результате взломов учетных записей.
В начале октября неизвестный злоумышленник заявил, что продает данные, украденные из американской компании 23andMe, включая сведения о миллионе евреях-ашкенази, а также о 100 тыс. китайцах. Спустя примерно две недели хакер выставил на продажу данные еще более чем 4 млн людей, в основном граждан Великобритании и Германии. Он утверждал, что получил доступ к информации о королевской семье, а также о богатых семьях, включая Рокфеллеров и Ротшильдов. Скомпрометированная информация включает имена, годы рождения, пол, а также некоторые сведения о генетическом происхождении, но не содержит генетических данных.
В своем блоге компания 23andMe утверждает, что злоумышленники получили доступ к аккаунтам благодаря использованию метода подстановки учетных данных (credential stuffing), который предполагает подбор имен пользователей и паролей из совокупности ранее украденных записей. Этот метод оказывается довольно эффективным, когда пользователи применяют одинаковые пароли для доступа к разным сервисам.
Вероятно, утечка информации клиентов 23andMe произошла еще в августе. Тогда хакер опубликовал на одном из форумов в дарквебе фрагмент украденных записей и заявил, что получил доступ к 300 терабайтам данных.
23andMe отмечает, что злоумышленник собрал информацию, используя функцию DNA Relatives, которая позволяет загрузить профили других людей, которые имеют совпадения в ДНК, и тем самым найти родственников по всему миру.
В целях защиты профилей компания призывает пользователей применять сложные и уникальные пароли, которые трудно подобрать. Также настоятельно рекомендуется использовать многофакторную аутентификацию (MFA).
При этом представители 23andMe до сих пор не объявили о точном количестве пострадавших пользователей и скомпрометированных аккаунтов.
В то же время против 23andMe поданы ряд коллективных исков от клиентов, обеспокоенных безопасностью своих данных и рассерженных тем, что компания скрывает подробности кибератаки.