サイバー犯罪フォーラムで23andMeのユーザー記録数百万件が追加流出
(techcrunch.com)- 23andMeのユーザーデータ流出が最初に明らかになってから2週間後、同じハッカーがBreachForumsに400万人規模の新しいデータセットを公開した
- Golemというハッカーは、新しいデータセットにGreat Britain出身のユーザーが含まれ、「米国と西ヨーロッパに住む最も裕福な人々」の情報もあると主張した
- TechCrunchは、新たに流出したデータの一部が公開されていた23andMeのユーザー・遺伝情報と一致することを確認した
- 23andMeは新たな流出を認識した後、データの真正性を確認中であり、これに先立ってユーザーにパスワード変更と多要素認証の有効化を案内していた
- 実際の侵入手法、流出全体の規模、盗まれたデータの利用目的はまだ確認されておらず、23andMeユーザーには追加のリスクが残っている
BreachForumsで公開された追加データ
- Golemというハッカーがサイバー犯罪フォーラムBreachForumsで、23andMeのユーザー情報400万件を含む新しいデータセットを公開した
- このハッカーは、2週間前にも遺伝子検査会社23andMeから盗んだユーザーデータのまとまりを流出させた人物と同一である
- TechCrunchは、新たに流出したデータの一部が公開されていた23andMeのユーザーおよび遺伝情報と一致することを確認した
- Golemは、このデータセットがGreat Britain出身者の情報を含むと主張した
- リストには「米国と西ヨーロッパに住む最も裕福な人々」のデータも含まれていると主張した
- 23andMeの広報担当Andy Killは、同社が新たな流出を認識しており、データが実際に23andMeのデータかどうかを確認中だと述べた
23andMeの説明とアカウント保護措置
- 23andMeは10月6日、ハッカーが一部ユーザーデータを入手したと発表し、ハッカーが**クレデンシャルスタッフィング(credential stuffing)**を使ったと説明した
- クレデンシャルスタッフィングは、別のデータ流出ですでに公開されていたユーザー名・メールアドレスとパスワードの組み合わせを試す手法である
- 事故対応として23andMeはユーザーにパスワード変更を求め、多要素認証の有効化を推奨した
- 公式の事故対応ページによると、23andMeは「第三者のフォレンジック専門家」の支援を受けて調査を開始した
- 同社は、顧客のパスワード使い回しと任意機能のDNA Relativesを事故原因として挙げた
- DNA Relativesは、遺伝データが一致する他の任意参加ユーザーのデータを見られる機能である
- この機能が有効になっていると、ハッカーが1つのアカウントに侵入して複数ユーザーのデータをスクレイピングできる
まだ解明されていない疑問
- ハッカーが実際にクレデンシャルスタッフィングを使ったのか、別の手法を使ったのかは不明である
- 盗まれたユーザーデータの総量はまだ分かっていない
- ハッカーがデータをどのように使おうとしているのかも確認されていない
- 今回の事故は数カ月前に実行された、あるいは少なくとも始まっていた可能性がある
- 8月11日、Hydraという別のサイバー犯罪フォーラムで、あるハッカーが23andMeユーザーデータセットを宣伝していた
- TechCrunchの分析によると、そのデータセットは2週間前に流出したユーザー記録の一部と一致する
- Hydraのハッカーは23andMeのユーザーデータ300TBを保有していると主張したが、証拠は示していない
- 現時点でデータ流出の全体像は明確ではなく、23andMeもどれほど多くのデータが持ち出されたのかをまだ把握できていないようだ
1件のコメント
Hacker News のコメント
23andMe が顧客のパスワード再利用と、遺伝的に一致する他の参加者のデータを見られるようにするオプトイン機能である DNA Relatives のせいにしているのは、核心的な問題をぼかす言い方です
DNA Relatives の共有オプションは細分化が不十分で、基本的に2段階程度しかなく、十分ではありません
また 23andMe は DNA Relatives に参加した人のうち最も近い1,500人までしか表示しないよう制限していますが、この構造ならハッカーが数千アカウントを掌握するだけで、データベースの大半からハプログループ、民族的起源の推定、名前、プロフィール、親族リスト、地理的起源情報を集められたはずです
この1,500人制限は理論上は役に立ちますが、最近しばらくの間はその範囲を超えるプロフィールも見られたため、それが悪用方法の一部だったのかは定かではありません
完全なプライバシーを得るには脱退しなければならないのなら、これがどうしてオプトイン機能なのか分かりません
ここで言う完全なプライバシーが何を意味するのか、合理的に期待できるプライバシーとどう違うのかも不明確です
この機能がオプトインだという会社の主張は筋が通らないと思います
ユーザーがパスワードを再利用していたなら単一アカウントが侵害された原因にはなり得ますが、会社ならその被害が広がらないよう簡単に緩和できたはずです
侵害されたアカウントの束だけで何百万人ものデータをスクレイピングできるようであってはなりません
23andMe の CEO も、これから10年間議会に引っ張り回されることになるのか気になります
23andMe を使ったことは、人生で最も大きな後悔の一つです。プライバシーを気にする前に、Amazon で割引されていたのでやってしまいました
削除を依頼しても本当に私のデータを消すという信頼はまったくなく、たとえ消したとしても、そのデータがすでに何らかのモデルや研究のどこかに入って生き続けているのではないか分かりません
自分のデータが今回の流出に含まれていたのか知りたくない気持ちもあります。これはクレジットカードや買い物データの流出とは違って感じます
さらに悪いのは、23andMe に長い間ログインしておらず、おそらくきちんとしたパスワードセキュリティを気にする前だった可能性が高いので、驚きではないという点です
Facebook と Google は人を操るのに使えるはるかに正確な人物像を持っており、23andMe は好奇心の対象以上のものではありません
私のデータもおそらく今回の流出に入っているでしょうが、それを後悔するのに人生の1秒も使うつもりはありません
集団訴訟で何か受け取れるか待っていればいいでしょう。Experian のハッキングの時のように、情けないほど少額の小切手が郵送されてくれば、少なくともコーヒーテーブルの上に置ける物が一つはできます
ただし偽名で登録し、検査キットは父に渡し、叔母にも一人検査を受けさせました
正確ではありませんでしたが、好奇心を満たすには十分でした
結局、すべてのものはいずれハッキングされます。有名なハッカーが言ったように、話したり書いたりしたことはすべて、いつか公開情報になると想定すべきです
付け加えると、「どうして父親にそんなことができるんだ」と言う人もいるでしょうが、父を知っていれば理解するはずです。ほとんどオフグリッドで暮らしていて、まもなく亡くなる予定で、叔母はすでに亡くなっています
漏えい被害者の一人です。技術には明るく、セキュリティもよく理解していて、あらゆる場所で固有かつ安全なパスワードを使っています。
この会社と、そのくだらない責任転嫁には本当にうんざりします。
これは企業型のドクシングも同然です。巨大企業の個々の経営幹部が、こうした事態について個人的責任を負うようになるまで、これは繰り返され続けるでしょう。
それまでは、本気で気にかける義務がないからです。私たちは金もうけの機械に投入される原料にすぎません。
漏えいそのものよりも、責任の不在のほうが腹立たしいです。
コメント欄で被害者を責める雰囲気があることに衝撃を受けます。
1人あたり1,500人のマッチがあり、親族が重複しないと仮定しても、漏えいデータの規模である約1,400万人に到達するには、成功裏にハッキングされたアカウントが概算で1万件は必要です。
実際には親族が重複する人は多いので、1万件よりはるかに多くのアカウントが攻撃されていなければならず、その間23andMeは不審な点にまったく気づかなかったことになります。非常にありそうにありません。
23andMeはこの漏えいの根本原因がクレデンシャルスタッフィングだと主張していますが、2か月前にHydra Marketへ最初に投稿したハッカーたちは、23andMeが学術・研究の協力者に提供したAPIを単に使用、または悪用しただけだと主張していました。
ハッカーたちは、生データを含めて300TBを持っていると主張しましたが、攻撃範囲がそこまで大きかったという証拠はまだ示していません。ただし、その主張が事実なら、この侵害はクレデンシャルスタッフィングではなく、APIを使ったという主張とよく合います。
したがって、攻撃者の言う規模が正しいなら、クレデンシャルスタッフィングよりも、23andMeのAPIの一つで全データをスクレイピングした可能性のほうがはるかに高いです。共同研究者の一人がハッキングされたのか、攻撃者がすべてのデータを再スクレイピングできるAPIのアクセス制御の脆弱性があった、または今もある可能性があります。
23andMeが提供するAPIについての情報は多くありませんが、RapidAPIで一つ見つけました(https://rapidapi.com/23andme/api/23andme)。アクセス制御の脆弱性や権限昇格を伴うユーザーハックがあったなら、個人1人を起点に複数のエンドポイントからデータをダウンロードし、親族エンドポイントを通じて再帰的にすべての親族をたどり、全員を一度ずつダウンロードできたはずです。個人の全ゲノムエンドポイントまであります。
現時点では23andMeの防御の論理を非常に疑っていますが、攻撃者が生データを持っている証拠を公開するまでは、同社が実際の攻撃規模について間違っている、または嘘をついていると証明するのは難しいです。それでも、APIを使ったという主張のほうが23andMeの提示する方式よりはるかに筋が通っており、だからこそ非常に懸念しています。
もちろん本気でやろうと思えば、プラットフォームを使っている親族をもとに私を追跡することはできます。
「23andMeは顧客のパスワード再利用を責めた」とありますが、どういう表現だったにせよ、これは顧客ではなく会社側の不備です。
顧客はパスワードを再利用しますし、今後もそうするでしょう。機微な個人識別情報なら、顧客の行動を変えようとするより、2要素認証やGoogle SSOを強制するほうがはるかに簡単です。
SMSより安全な認証アプリ方式ですが、ユーザーに受け入れさせるにはより手間がかかるため、導入率に影響した可能性があります。
23andMeが気づかないまま顧客データ300TBが漏えいしたのなら、過失に見えます。アラートがあるべきではなかったのでしょうか。
それでも23andMeなら、顧客ストレージに新しい地理的位置が現れたことを示す検知や制御があるべきでした。各顧客の送信先を偽装したとは考えにくいからです。
あるいは管理者級アカウントでデータにアクセスする場合にも、監査証跡と承認フローを備えた認可プロセスがあるべきでした。
金を払っている顧客を責めて、自社システムのセキュリティ失敗を覆い隠そうとするとは驚きです。
ユーザーは制御できませんが、セキュリティ態勢は制御できます。23andMe経営陣の態度と判断はひどいものです。
23andMeの商品はユーザーのDNAであり、消化しやすい形できれいに包装されているだけです。
クレデンシャルスタッフィングで数百万件の記録が盗まれるのを検知できなかったのだとしたら、それも会社にとってより良い言い訳にはなりません。
企業が自分たちの行動に責任を取る姿を見る前に、私のほうが先に死にそうなので、驚きもしません。
23andMeは私が高校生の時に登場し、理科の先生の一人が授業を丸々1時間使って、そのサービスを絶対に使ってはいけない理由を説明してくれました。
正直、私が受けた授業の中で最も価値があり、そのおかげで近づこうと思ったことすらありません。
データプライバシーを、学校の必修保健科目のようなものに入れるべきだと思います。ただし、決められた教育課程はおそらくロビー活動で台無しにされ、本当に価値のある内容は教えられない可能性が高いでしょう。
DNAの何がプライベートなのでしょうか
関連する最近の投稿:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - 2023年10月、コメント20件
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - 2023年10月、コメント3件
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - 2023年10月、コメント2件
「遺伝子検査会社が収集する情報の種類は、現在、米国の医療情報保護法であるHIPAAの保護対象ではない。」
遺伝子検査業界のロビイストがうまくやったんだろうな
だがDNAを解析して明らかになったデータ、たとえば遺伝性疾患の有無のようなものは、保護対象の医療情報であるべきだ
髪の毛1本を処理したというだけで、「保護対象の医療情報ではない」から「これで保護対象の医療情報になった」に変わるというのはおかしい
「どの時点から保護対象の医療情報になるのか」は、答えるのが難しい問いだろう
個人的には、DNA関連データの保護にはHIPAAとは別の枠組みが必要だと思う