一场影响 23andMe 用户的 数据泄露事件 据称比公司今年早些时候最初承认的要严重得多。尽管最初报道称影响用户不到1%,但公司发言人上周末确认的额外数据集评估显示,多达一半的23andMe账户可能卷入了此次安全漏洞。
[相关: 退出选择:跳过家庭基因检测的5个理由。]
10月份,这家 颇受欢迎的基因检测公司 透露,黑客已经获得了部分用户的个人信息——例如姓名、出生年份、家庭关系、DNA信息、祖源报告、用户自报地点和DNA数据。23andMe声称,此次泄露最有可能的结果是暴力破解攻击。在这种情况下,恶意行为者会利用客户先前泄露的登录信息,通常是跨多个互联网账户使用的重复密码和用户名。23andMe在近两个月内都没有提供确切的数字——12月1日,新的 美国证券交易委员会披露,公司估计只有0.1%的用户,即约14,000名客户,直接受到影响。然而,在同一份文件中,23andMe也承认,许多其他用户的祖源信息可能也间接包含在泄露中。
上周末,TechCrunch 在与23andMe官员交谈后,证实了此次数据泄露受害者人数的最终统计:约690万用户,占总账户数的一半。
这些用户包括估计有550万人此前选择了该服务的DNA亲属(DNA Relatives)功能,该功能允许用户之间自动共享部分个人数据。除了这些客户,黑客还窃取了另外140万使用DNA亲属功能的用户的家谱(Family Tree)个人资料数据。受害者估计数量的增加据称源于DNA亲属功能允许黑客不仅看到受损用户的信息,还能看到所有他们列出的亲属的信息。
[相关: 为什么政府机构屡遭黑客攻击。]
尽管黑客事件最早是在10月份被公开 宣布 的,但有证据表明,泄露事件发生在两个月前。当时,一名用户在一个流行的黑客论坛上以5000万美元的价格出售了超过300TB的声称是23andMe的用户资料数据,或者以1000美元至5000美元的价格出售小部分数据。
10月份,在另一个黑客论坛上,另一名用户宣布,他们拥有约100万名具有阿什肯纳兹犹太血统用户的相关数据,以及10万名中国用户的账户信息——有兴趣的买家可以以每个账户1至10美元的价格购买这些信息。
23andMe 以及 MyHeritage 和 Ancestry 等基因检测公司,自10月份确认泄露事件以来,已对所有账户强制实施了 双重身份验证方法。
更新 2023/12/7 下午2:06: 本文已编辑,以更准确地反映数据泄露的某些细节。.
