23andMe、クレデンシャルスタッフィングによるユーザーデータ盗難を確認
(bleepingcomputer.com)- 遺伝子検査サービス 23andMe のユーザーデータがハッカーフォーラムで流通しており、同社は原因をパスワード再利用を狙ったクレデンシャルスタッフィングとみている
- 攻撃者は他のオンラインプラットフォームの侵害で露出したログイン情報を使って 23andMe.com アカウント にアクセスしたとされ、現時点では同社内部システムの侵害を示す兆候はないと説明している
- 露出した項目は 実名、ユーザー名、プロフィール写真、性別、生年月日、遺伝的祖先の結果、地理的位置 など、個人識別性の高い情報である
- 初期サンプルはアシュケナージ系の人々のデータ 100万行 で、その後10月4日にはアカウントあたり 1〜10ドル での大量販売提案へとつながった
- DNA Relatives 機能を有効にしていたアカウントのマッチングデータがスクレイピングされ、任意のソーシャル機能が想定外の個人情報露出経路になりうることが示された
ハッカーフォーラムで確認された23andMeのデータ
- 23andMe は、自社プラットフォームのユーザーデータがハッカーフォーラムで流通している事実を把握しており、クレデンシャルスタッフィング攻撃による漏えいとみている
- 同社は、顧客が唾液サンプルを研究所に送ると、祖先や遺伝的素因に関するレポートを提供する米国のバイオテクノロジー・ゲノム企業である
- ある脅威アクターが遺伝学企業から盗んだと主張するデータサンプルを公開し、数日後には23andMe顧客データパックの販売を持ちかけた
クレデンシャルスタッフィングと会社の見解
- 23andMeの広報担当者は、フォーラムに掲載されたデータが 実際の23andMeデータ であると確認した
- 攻撃者は、他の侵害事故で露出した認証情報を利用して23andMeアカウントにアクセスし、機密データを盗んだとみられている
- 同社は現在、自社システム内で データセキュリティ事故 が発生したことを示す兆候はないと明らかにしている
- 初期調査の結果、ユーザーが複数のオンラインプラットフォームで再利用していたログイン情報が、別の事故で流出した後に攻撃者へ収集された可能性がある
流出・販売されたデータの範囲
- 初期公開データは限定的だったが、脅威アクターは アシュケナージ系の人々 のデータ100万行を公開した
- 10月4日には、購入量に応じて23andMeアカウントあたり 1〜10ドル でデータプロフィールを大量販売すると提案した
- 露出した情報には次の項目が含まれる
- 氏名
- ユーザー名
- プロフィール写真
- 性別
- 生年月日
- 遺伝的祖先の結果
- 地理的位置
DNA Relatives機能を通じた拡散
- 販売されたアカウント数は、露出した認証情報によって侵害された 23andMeアカウント数 とそのまま一致するわけではない
- 侵害されたアカウントは、23andMeの DNA Relatives 機能を有効にしていた
- DNA Relatives は、ユーザーが遺伝的親族を見つけてつながれるようにする機能である
- 攻撃者は少数の23andMeアカウントにアクセスした後、それらのアカウントのDNA Relativesマッチングデータをスクレイピングした
- この事例は、特定機能への参加が予期しない 個人情報の露出 につながりうることを示している
ユーザーが取れる保護措置
- 23andMeはアカウント保護のために 2段階認証 を提供しており、すべてのユーザーに有効化を推奨している
- 関連案内は Adding 2-Step Verification to Your 23andMe Account で確認できる
- ユーザーはパスワードの再利用を避け、すべてのオンラインアカウントごとに強力で異なる 認証情報 を使用する必要がある
1件のコメント
Hacker News のコメント
私の読み違いでなければ、誰かがすでに流出していたメールアドレス/パスワードのデータベースを持っていて、それを 23andMe に試し、ログインできたらアクセス可能なデータを持ち出したように見える
23andMe が非常に広範で個人的なデータを持っているのは確かだが、こうした攻撃は文字どおりどんな Web サイトにも可能
要点は、人々がパスワードを使い回し、2要素認証も有効にしていなかったということ
つまり販売されているデータベースは、別の流出で出たメールアドレス/パスワードのうち 23andMe でも通ったものと、そのアカウントにあった 23andMe データの一覧にすぎない
正確に言えば、23andMe 自体の侵害とは言いにくい
なぜ新しい IP からのアカウントログインを許可しながら追加確認をしなかったのか分からない
メールアドレスを持っているのだから、少なくともメールベースの 2要素認証はできたはずだし、他の人が言うように CAPTCHA も攻撃をより遅く、より高コストにできたはず
私の職場では両方使っているので、この攻撃が「文字どおりどんな Web サイトにも可能」だとは言えない
上場企業でもある成熟した企業が、数百万アカウント規模のクレデンシャルスタッフィングを許したのは恥ずべきこと
人々がアクセスできたものの中で最も重要だったのは完全な生の DNA プロファイルで、被害者のかなりの数は、自分のアカウントが安全だったとしても、「Relatives」機能に同意した人たちのせいで露出したケースだった
「2要素認証がオフ」であることが、「非常に広範で個人的なデータ」と共存するのを許してよいのか
残念なのは、この攻撃が大規模にうまく機能したこと
一部の Web サイトではこうした攻撃を規模をもって実行できるが、適切な指標を選んで監視しアラートを設定していれば、受ける側ではかなり騒がしく目立つタイプのもの
「現時点では当社システム内部でデータセキュリティインシデントがあった兆候はない」と述べていたが、そのシステムが顧客データの抽出に使われ、顧客データが売られてから気づいたのなら、そこから改善すべき
公表がこれほど遅かったことを見ると、報道機関から問い合わせを受けて初めて知った可能性もありそう
Troy Hunt のハッシュ化済みパスワードデータベースをダウンロードしてログイン時に確認し、流出済みパスワードならメールによるパスワードリセットフローに送ればよい
あるいは API を使ってもよい
とても簡単で、2017年ごろから受け入れられているベストプラクティスだったと思う
これは 100% 23andMe の責任
https://haveibeenpwned.com/Passwords
企業が「推移的な権限」や「ネットワーク権限」を真剣に見直し始めるのか気になる
以前 Facebook が大きくやられた件と非常によく似ている
私には友人たちの全データを見る権限があり、昔はボタンひとつで、要求してきた誰かに私の情報だけでなく友人たちの情報まで見せることができた
コンピュータサイエンスの観点では筋が通る: 私が自分の全データを誰かに見せるなら、その人がさらに誰と共有するかは私には制御できなくなる
しかし人間の感覚では、たいていの人は、私があなたにアクセス権を与えたことが実質的に全世界にアクセス権を与えたことだとは考えない
こうしたネットワーク権限は、そのデータを持つ企業を主要な標的にする
攻撃者は数個のアカウントをハックするだけで、幾何級数的に多くのデータを得られるから
投稿者が友人の友人に見えるよう設定した範囲のことだよね
このツイートによると、ハッカーは全データを入手したが、その一部、つまり130万件の記録だけを流出させた可能性がある
その一部がアシュケナージ・ユダヤ人のデータだったという話
https://x.com/mattjay/status/1710370423311888724?s=20
アシュケナージ・ユダヤ人は欧州の他の集団と比べて比較的遺伝的に隔離されていて、比較的小さな創始者集団から始まった
そのため標準的な指標で見ると、遺伝的には互いに遠い親戚として検出される
つまり一般的な 23andMe のアシュケナージ・ユダヤ人顧客は、他の顧客よりはるかに多くの親戚が表示され、その分より多くのプロファイルを見られたはず
だからアシュケナージのデータ全体ではない可能性が高い
全データだったという証拠もない
興味深いアイデアだとは思うが、まさにこういう理由でこの手の遺伝子検査はずっと拒否してきた
実際にはそんなに複雑にする必要はなく、ただ人々に自分で郵送させればよかったわけだ ;)
ただ、もう覆水盆に返らずのように見える
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
今後もこういうサービスは試さないと思う
もう何度も言っているが、データの保管と保護の過失に対して刑事責任が生じるようになるまでは、こういうことは起こり続けるだろう
企業は気にしていないし、PRで何と言おうと、自分たち自身が直接危険にさらされるまでは気にしないだろう
侵害が起きるたびに、British Petroleumみたいに「本当に申し訳ありません」を繰り返して、人々にLifeLockか何かを買い与える
まったくのたわごとだ
記事によれば、会社が侵害されたわけではなく、別の侵害で露出した使い回しの認証情報を使っていた個別アカウントだけがやられたということだ
2要素認証はあるべきだったが、2要素認証がないことを犯罪化すべきだとは思わない
スクリーンショットに出ていたサイトに行ってみたら、誰かがフィリピン訪問時のNATO流出資料だとして「PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NTなど」を売っていた
2023年のウクライナ市民データベースのリストももう一つあった
CIA、どうか殺さないでください! 誓って偶然見ただけです
とにかく仕事に戻らないと
7万5千ドルとは
政府がプライバシーを真剣に考えていないことを、言葉にせず示す方法だ
3週間前、遺伝子検査企業1Health.ioは、機微な遺伝・健康データを適切に保護できず、データを取得した顧客に通知したり同意を得たりしないままプライバシーポリシーを遡及的に変更し、顧客が自分のデータを削除できると偽ったという疑惑を解決するため、FTCに7万5千ドルの罰金を支払うことで合意した
会社が完全に崩壊してほしい
禁じられた遺伝研究が行われているわけでもなく、保険料が上がっているわけでもなく、この情報のせいで民族浄化が起きているわけでもない
なりすましや銀行詐欺はいくつかあるだろうが、概して既存のシステムで処理できる
反対側で捕まる
巨額の罰金を望むなら、大きな被害を証明しなければならない
プライバシーを本当に真剣に考えるなら、問題を直せと7万5千ドルを支援すべきだ
エンジニアリング予算から7万5千ドルを奪えば、さらにできなくなり、もっと多くのデータが流出するだろう
「面白半分で」DNAをシーケンスしてもらうために送ることのプライバシー上の影響について言えば、23andMeはすでに法執行機関と協力している
データサイエンスも十分に進歩していて、私自身がDNAサンプルを出したことがなくても、三いとこが1人サンプルを提出していれば私の身元を推定できる
平均的な人には三いとこが約200人いる
私の200人の三いとこのうち1人が23andMeの綿棒検査を受け、その後、私がたぶん国の反対側で犯罪を犯したとしよう
法執行機関がDNA証拠を収集した
さて、どうなるのか
私の知る限り、Leeds-Collinsチャートを作る系譜サービスがあり、ユーザーに23andMeの認証情報を求める仕組みになっている
一部のサードパーティ銀行サービスがユーザーに銀行の認証情報を直接要求するのと似ている
この分野には本当にひどいセキュリティ慣行が多い
数年前に失くして、今ではメールアドレスもない父のアカウントのパスワードを、23andMeが送ってくれるかもしれない
そこにあれば、パスワードも持っている可能性がある