23andMe、クレデンシャルスタッフィング攻撃でユーザーデータが盗まれたと発表

 (bleepingcomputer.com)
1 ポイント 投稿者 GN⁺ 2023-10-08 | 1件のコメント | WhatsAppで共有
  • 米国のバイオテクノロジーおよびゲノミクス企業 23andMe が、同社プラットフォームのユーザーデータに関する データ侵害 を確認しました。
  • 同社は、このデータ侵害の原因が クレデンシャルスタッフィング攻撃 にあると主張しています。
  • 初期のデータ侵害は限定的でしたが、脅威アクターはアシュケナージ系の人々に関する100万行のデータを公開しました。
  • 脅威アクターはその後、23andMeアカウント1件あたり1〜10ドルで、大量のデータプロファイルを販売すると提案しました。
  • 露出したデータには、氏名、ユーザー名、プロフィール写真、性別、生年月日、遺伝的祖先の結果、地理的位置が含まれます。
  • 侵害されたアカウントは、ユーザーが遺伝的親族を見つけてつながることができる同社プラットフォームの「DNA親族」機能に参加していました。
  • 脅威アクターは、23andMeアカウントの一部にアクセスした後、それらのDNA親族マッチデータをスクレイピングしました。
  • 23andMeは、これらのアクセス試行で使用されたログイン認証情報が、ユーザーが認証情報を使い回していた他のオンラインプラットフォームで発生したデータ侵害から、脅威アクターによって収集された可能性があると述べました。
  • 同社は追加のアカウント保護措置として 二要素認証 を提供しており、すべてのユーザーに有効化を推奨しています。
  • ユーザーには、パスワードの使い回しを避け、すべてのオンラインアカウントで強力かつ固有の認証情報を一貫して使用するよう助言しています。

関連記事

1件のコメント

 
GN⁺ 2023-10-08
Hacker Newsの意見
  • 23andMeでのユーザーデータ盗難は、以前に漏えいしたメールアドレス/パスワードのデータベースがサイトへのアクセスに使われたクレデンシャル・スタッフィング攻撃が原因だった。
  • 問題は、人々がパスワードを使い回し、二要素認証を有効にしていなかったことから生じた。
  • 販売用のデータには、23andMeで有効だった別の侵害由来のメールアドレス/パスワードと、23andMeがそのユーザーについて保有していたデータが含まれている。
  • この事件は、「推移的権限」または「ネットワーク権限」への懸念を呼び起こした。これは、1人にアクセス権を与えると他の人々へのアクセスも可能になりうることを意味する。
  • 一部のユーザーは、こうしたセキュリティ上の懸念から遺伝子検査を避けている。
  • ハッカーはすべてのデータにアクセスしたが、特にアシュケナージ系ユダヤ人の130万件の記録だけを流出させたのではないか、という推測がある。
  • 一部のユーザーは、データ保管/保護における不注意に対する刑事責任が問われるようになるまで、このような侵害は起こり続けると考えている。
  • 23andMeの法執行機関との協力や、三親等のDNAサンプルに基づいて個人を特定できる能力は、プライバシーへの懸念を引き起こしている。
  • 遺伝子検査会社1Health.ioが機密データを保護できなかったとしてFTCに7万5,000ドルの罰金を支払ったことは、政府が個人情報保護を深刻に受け止めていない証拠だと見なされている。
  • 一部の系譜サービスはユーザーに23andMeの認証情報の提供を求めていると報告されており、この分野のセキュリティが脆弱であることを示している。
  • この事件は、人々が自らの遺伝情報を民間企業に委ねることへの批判を呼び起こした。