23andMe, kullanıcı verilerinin credential stuffing ile çalındığını doğruladı
(bleepingcomputer.com)- Genetik test hizmeti 23andMe’nin kullanıcı verileri hacker forumlarında dolaşıma girdi; şirket bunun nedenini parola yeniden kullanımını hedefleyen credential stuffing olarak değerlendiriyor
- Saldırgan, başka çevrimiçi platformlardaki ihlallerde açığa çıkan oturum açma bilgileriyle 23andMe.com hesaplarına erişti; şirket şu ana kadar kendi iç sistemlerinde ihlal belirtisi olmadığını açıkladı
- Açığa çıkan öğeler arasında gerçek ad, kullanıcı adı, profil fotoğrafı, cinsiyet, doğum tarihi, genetik soy sonuçları, coğrafi konum gibi kişisel olarak yüksek düzeyde tanımlayıcı bilgiler bulunuyor
- İlk örnek, Ashkenazi kişilere ait 1 milyon satır veriydi; ardından 4 Ekim’de hesap başına 1-10 dolar fiyatla toplu satış teklifi geldi
- DNA Relatives özelliğini açmış hesapların eşleşme verileri kazınarak alındı; bu da isteğe bağlı sosyal özelliklerin beklenmedik bir kişisel veri sızıntısı yolu olabileceğini gösteriyor
Hacker forumlarında doğrulanan 23andMe verileri
- 23andMe, kendi platform kullanıcı verilerinin hacker forumlarında dolaşımda olduğunun farkında ve bunu credential stuffing saldırısından kaynaklanan bir sızıntı olarak değerlendiriyor
- Şirket, müşterilerin tükürük örneklerini laboratuvara göndermesiyle soy ve genetik yatkınlık raporları sağlayan ABD merkezli bir biyoteknoloji ve genomik şirketidir
- Bir tehdit aktörü, genetik şirketinden çaldığını iddia ettiği veri örneğini yayımladı; birkaç gün sonra da 23andMe müşteri veri paketlerini satışa sundu
Credential stuffing ve şirketin açıklaması
- Bir 23andMe sözcüsü, forumda paylaşılan verilerin gerçek 23andMe verileri olduğunu doğruladı
- Saldırganın, başka ihlallerde açığa çıkan kimlik bilgilerini kullanarak 23andMe hesaplarına eriştiği ve hassas verileri çaldığı anlaşılıyor
- Şirket, şu anda kendi sistemleri içinde bir veri güvenliği olayı yaşandığına dair belirti bulunmadığını açıkladı
- İlk inceleme sonuçlarına göre, kullanıcıların birden fazla çevrimiçi platformda yeniden kullandığı oturum açma bilgilerinin başka olaylarda sızdırıldıktan sonra saldırganlar tarafından toplanmış olması muhtemel
Sızdırılan ve satılan verilerin kapsamı
- İlk yayımlanan veri sınırlıydı, ancak tehdit aktörü Ashkenazi kişilere ait 1 milyon satır veriyi paylaştı
- 4 Ekim’de, satın alma miktarına bağlı olarak 23andMe hesap başına 1-10 dolar fiyatla veri profillerini toplu olarak satmayı teklif etti
- Açığa çıkan bilgiler arasında şu öğeler yer alıyor
- Tam ad
- Kullanıcı adı
- Profil fotoğrafı
- Cinsiyet
- Doğum tarihi
- Genetik soy sonuçları
- Coğrafi konum
DNA Relatives özelliği üzerinden yayılma
- Satılan hesap sayısı, açığa çıkan kimlik bilgileriyle ele geçirilen 23andMe hesaplarının sayısıyla birebir örtüşmüyor
- Ele geçirilen hesaplarda 23andMe’nin DNA Relatives özelliği açık durumdaydı
- DNA Relatives, kullanıcıların genetik akrabalarını bulup onlarla bağlantı kurmasını sağlayan bir özelliktir
- Saldırgan, az sayıda 23andMe hesabına eriştikten sonra bu hesapların DNA Relatives eşleşme verilerini kazıdı
- Bu olay, belirli bir özelliğe katılımın beklenmedik kişisel veri sızıntısına yol açabileceğini gösteriyor
Kullanıcıların alabileceği koruma önlemleri
- 23andMe, hesapları korumak için iki adımlı doğrulama sunuyor ve tüm kullanıcılara bunu etkinleştirmelerini öneriyor
- İlgili yönergelere Adding 2-Step Verification to Your 23andMe Account üzerinden ulaşılabilir
- Kullanıcılar parola yeniden kullanımından kaçınmalı ve tüm çevrimiçi hesapları için güçlü, birbirinden farklı kimlik bilgileri kullanmalıdır
1 yorum
Hacker News yorumları
Yanlış okumadıysam, biri zaten sızdırılmış bir e-posta/parola veritabanına sahipti ve bunu 23andMe’de deneyip giriş başarılı olunca erişilebilen verileri aldı gibi görünüyor.
23andMe’nin çok kapsamlı ve kişisel verilere sahip olduğu doğru, ama bu tür bir saldırı kelimenin tam anlamıyla herhangi bir web sitesine yapılabilir.
Asıl nokta, insanların parolalarını yeniden kullanmış olması ve iki aşamalı kimlik doğrulamayı da açmamış olmaları.
Dolayısıyla satıştaki veritabanı, başka sızıntılardan gelen e-posta/parola çiftleri arasında 23andMe’de de işe yarayanlardan ve o hesaplarda bulunan 23andMe verilerinin listesinden ibaret.
Kesin konuşmak gerekirse bunu 23andMe’nin kendi sistemlerinin ihlali olarak görmek zor.
Yeni bir IP’den hesap girişine neden ek doğrulama yapmadan izin verdiklerini bilmiyorum.
Ellerinde e-posta olduğu için en azından e-posta tabanlı iki aşamalı doğrulama yapabilirlerdi; başkalarının da söylediği gibi CAPTCHA da saldırıyı daha yavaş ve pahalı hale getirebilirdi.
Benim çalıştığım yerde ikisi de kullanılıyor, bu yüzden bu saldırının “kelimenin tam anlamıyla herhangi bir web sitesine yapılabileceği” doğru değil.
Üstelik halka açık bir şirket olan olgun bir firmanın milyonlarca hesap ölçeğinde credential stuffing’e izin vermiş olması utanç verici.
İnsanların erişebildiği şeylerin en önemlisi tam ham DNA profiliydi ve mağdurların önemli bir kısmı, kendi hesapları güvenli olsa bile “Relatives” özelliğine onay vermiş kişiler yüzünden açığa çıktı.
“İki aşamalı kimlik doğrulamanın kapalı olması”, “çok kapsamlı ve kişisel veriler” ile bir arada var olmasına izin verilecek bir şey mi?
Hayal kırıklığı yaratan taraf, bu saldırının büyük ölçekte çok işe yaramış olması.
Bazı web sitelerinde bu tür saldırılar ölçekli şekilde yürütülebilir; ancak uygun metrikleri seçip izler ve alarm kurarsanız, alıcı tarafta oldukça gürültülü biçimde kendini belli eden bir türdür.
“Şu anda sistemlerimiz içinde bir veri güvenliği olayı yaşandığına dair bir işaret yok” dediler, ama o sistem müşteri verilerini çıkarmak için kullanıldıysa ve bunu ancak müşteri verileri satıldıktan sonra fark ettilerse, işe o kısmı iyileştirmekten başlamalılar.
Açıklamanın bu kadar geç yapılmasına bakınca, bunu ancak basın soruları geldikten sonra öğrenmiş olmaları da olası görünüyor.
Troy Hunt’ın hash’lenmiş parola veritabanını indirip giriş sırasında kontrol etmek ve parola sızmışsa kullanıcıyı e-posta ile parola sıfırlama akışına yönlendirmek yeterli.
Ya da API de kullanılabilir.
Çok basit ve 2017 civarından beri kabul görmüş en iyi uygulama olduğunu düşünüyorum.
Bu %100 23andMe’nin sorumluluğu.
https://haveibeenpwned.com/Passwords
Şirketler “geçişli yetkiler”i ya da “ağ yetkileri”ni ciddi biçimde yeniden değerlendirmeye başlar mı merak ediyorum.
Bu, Facebook’un geçmişte büyük darbe aldığı şeye çok benziyor.
Arkadaşlarımın tüm verilerini görme yetkim vardı ve eskiden tek bir düğmeyle, bunu isteyen birinin yalnızca benim bilgilerimi değil arkadaşlarımın bilgilerini de görmesine izin verebiliyordum.
Bilgisayar bilimi açısından mantıklı: Ben birine tüm verilerimi görme izni verirsem, o kişinin bunları başka kimlerle paylaşacağını artık kontrol edemem.
Ama insan açısından bakınca çoğu kişi, sana erişim vermemin fiilen tüm dünyaya erişim vermek anlamına geldiğini düşünmez.
Bu tür ağ yetkileri, söz konusu verileri elinde tutan şirketi büyük bir hedef haline getirir.
Çünkü saldırgan yalnızca birkaç hesabı ele geçirerek üstel biçimde daha fazla veri elde edebilir.
Yani yazarın arkadaşının arkadaşlarına görünür olacak şekilde ayarladığı kapsam.
Bu tweet’e göre hacker’ların tüm verileri elde etmiş ama yalnızca bir kısmını, yani 1,3 milyon kaydı sızdırmış olma ihtimali var.
O kısmın Aşkenaz Yahudilerine ait veriler olduğu söyleniyor.
https://x.com/mattjay/status/1710370423311888724?s=20
Aşkenaz Yahudileri, Avrupa’nın geri kalan topluluklarına kıyasla genetik olarak görece izole kalmıştı ve nispeten küçük bir kurucu topluluktan başladı.
Bu yüzden standart metriklere göre genetik olarak birbirleriyle uzak akraba gibi algılanırlar.
Yani tipik bir 23andMe Aşkenaz Yahudisi müşteriye, diğer müşterilere kıyasla çok daha fazla akraba gösterilmiş ve buna bağlı olarak çok daha fazla profili görebilmiş olabilir.
Bu yüzden bunun tüm Aşkenaz verileri olma ihtimali düşük.
Tüm veri olduğuna dair de kanıt yok.
İlginç bir fikir olduğunu düşünsem de, tam da bu yüzden bu tür genetik testleri sürekli reddettim.
Meğer bu kadar karmaşık olmasına gerek yokmuş; insanlara bizzat postayla göndertmek yeterliymiş ;)
Ancak artık iş işten geçmiş gibi görünüyor.
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Gelecekte de böyle servisleri deneyeceğimi sanmıyorum
Bunu artık defalarca söyledim ama veri saklama ve korumadaki ihmaller için cezai sorumluluk doğana kadar böyle şeyler olmaya devam edecek
Şirketlerin umurunda değil; PR’da ne derlerse desinler, kendileri doğrudan risk altına girene kadar umursamayacaklar
Her ihlal olduğunda British Petroleum gibi “Gerçekten çok özür dileriz” diye tekrar edip insanlara LifeLock falan satın alıyorlar
Tamamen saçmalık
Habere göre şirketin kendisi ihlale uğramamış; başka ihlallerde açığa çıkan yeniden kullanılmış kimlik bilgilerini kullanan tekil hesaplar ele geçirilmiş
İki faktörlü kimlik doğrulama olmalıydı, ama iki faktörlü kimlik doğrulamanın olmamasını suç haline getirmemiz gerektiğini düşünmüyorum
Ekran görüntüsündeki siteye girdim; birileri Filipinler ziyareti sırasında elde edilmiş NATO sızıntı materyali diye “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT vb.” satıyordu
2023’e ait Ukrayna vatandaş veritabanı listesi de vardı
CIA, lütfen beni öldürmeyin! Yemin ederim tesadüfen gördüm
Neyse, işe geri dönmem gerek
75 bin dolar mı
Hükümetin mahremiyeti ciddiye almadığını söylemeden göstermenin yolu bu
3 hafta önce genetik test şirketi 1Health.io, hassas genetik ve sağlık verilerini gerektiği gibi korumadığı, verilerini aldığı müşterilere bildirim yapmadan veya onaylarını almadan gizlilik politikasını geriye dönük değiştirdiği ve müşterileri verilerini silebilecekleri konusunda yanılttığı iddialarını çözmek için FTC’ye 75 bin dolar ceza ödemeyi kabul etti
Umarım şirket tamamen çöker
Yasaklı genetik araştırmalar yürütülmüyor, sigorta primleri artmıyor, bu bilgi yüzünden etnik temizlik yaşanmıyor
Birkaç kimlik hırsızlığı ve banka dolandırıcılığı olabilir, ama genel olarak mevcut sistem bunlarla başa çıkabilir
Diğer uçta yakalanıyorlar
Büyük para cezaları istiyorsanız büyük zarar kanıtlamanız gerekir
Mahremiyeti gerçekten ciddiye alıyorsak, sorunu düzeltmeleri için 75 bin dolar destek vermeliyiz
Mühendislik bütçesinden 75 bin dolar çekip alırsanız daha da kötü yaparlar ve daha fazla veri sızar
DNA’yı “eğlencesine” dizilemeye göndermenin mahremiyet etkilerinden söz edecek olursak, 23andMe zaten kolluk kuvvetleriyle iş birliği yapıyor
Veri bilimi de yeterince gelişti; ben hiç DNA örneği vermemiş olsam bile üçüncü dereceden bir kuzenim örnek verdiyse kimliğimi tahmin edebilirler
Ortalama bir kişinin yaklaşık 200 üçüncü dereceden kuzeni vardır
Diyelim ki 200 üçüncü dereceden kuzenimden biri 23andMe çubuk testini yaptı ve sonra ben, muhtemelen ülkenin öbür ucunda, bir suç işledim
Kolluk kuvvetleri DNA kanıtı topladı
Şimdi ne oluyor?
Bildiğim kadarıyla Leeds-Collins çizelgeleri oluşturan soybilim hizmetleri var ve bunlar kullanıcıdan 23andMe kimlik bilgilerini isteyerek çalışıyor
Bazı üçüncü taraf bankacılık hizmetlerinin kullanıcıdan banka kimlik bilgilerini doğrudan istemesine benziyor
Bu alanda gerçekten çok kötü güvenlik uygulamaları var
Birkaç yıl önce kaybettiğim ve artık e-posta adresi de olmayan babamın hesap parolasını 23andMe gönderebilir mi acaba
Oradaysa parolayı da ellerinde bulunduruyor olabilirler