サイバー犯罪フォーラムでハッカーが23andMeユーザー数百万人分の記録を追加流出

 (techcrunch.com)
1 ポイント 投稿者 GN⁺ 2023-10-19 | 1件のコメント | WhatsAppで共有
  • Golemと名乗るハッカーが、遺伝子検査会社23andMeの追加のユーザー記録数百万件を、BreachForumsというサイバー犯罪フォーラムに流出させた。
  • 今回の流出は、ここ数週間で23andMeに起きた2件目の大規模流出で、以前にも同じハッカーが相当量のユーザーデータを流出させていた。
  • 新たに流出したデータセットには、英国、米国、西ヨーロッパの裕福な個人を含む400万人分のユーザー記録が含まれていると報じられている。
  • 23andMeは今回の流出を認めており、現在データの真正性を確認している。
  • 同社は以前、最初のデータ流出は、別の情報漏えいで流出したユーザー名またはメールアドレスとパスワードの組み合わせを使うクレデンシャル・スタッフィング手法が原因だったと明らかにしていた。
  • こうした流出への対応として、23andMeはユーザーに対し、パスワードの変更と多要素認証の有効化を求めている。
  • 同社は第三者のフォレンジック専門家の支援を受けて調査を開始した。
  • 合計でどれだけのユーザーデータが盗まれたのか、またハッカーが盗んだデータをどのように使うつもりなのかは、依然として不明である。
  • Hydraという別のサイバー犯罪フォーラムのハッカーは、以前23andMeユーザーデータ300テラバイトを保有していると主張していたが、この主張はまだ確認されていない。
  • データ流出の全体像はなお分かっておらず、どれほどのデータが持ち去られたのかも不明である。

関連記事

1件のコメント

 
GN⁺ 2023-10-19
Hacker Newsの意見
  • 23andMeで数百万人分のユーザー記録がサイバー犯罪フォーラムに流出したデータ侵害に関する記事。
  • 23andMeは、パスワードの使い回しと、ユーザーが遺伝子データが一致する他のユーザーのデータを見られる任意機能「DNA Relatives」に今回の件の原因があるとした。
  • コメント投稿者たちは、23andMeが顧客を非難していることを批判し、同社はより良いセキュリティ対策を講じるべきだったと主張した。
  • 一部では、DNA Relativesプログラム内の共有オプションに細かさが欠けており、最も近い1500件の一致項目を見られるという制限によって、ハッカーがデータベース内の大半の人々のデータを収集できてしまった可能性があると指摘した。
  • 別の一部は、プライバシーの問題や同社のデータ処理慣行への信頼不足から、23andMeを利用したことを後悔した。
  • 300TBの顧客データ流出を検知できなかった同社の失敗に言及するコメントもあり、一部はこれを怠慢だと見なした。
  • 一部のユーザーは、23andMeがセキュリティ強化のために二要素認証(2FA)を必須にするか、Google Single Sign-On(SSO)を使うべきだったと提案した。
  • 少数のユーザーは、23andMeに自分たちの結果を提出する際、偽名と使い捨てメールアドレスを使ったと共有した。
  • また、23andMeのデータ侵害に関する関連事件や訴訟への言及もあった。