23andMe, kullanıcı verilerinin credential stuffing saldırısında çalındığını açıkladı

 (bleepingcomputer.com)
1 puan yazan GN⁺ 2023-10-08 | 1 yorum | WhatsApp'ta paylaş
  • ABD merkezli biyoteknoloji ve genomik şirketi 23andMe, platformdaki kullanıcı verileriyle ilgili bir veri ihlalini doğruladı.
  • Şirket, veri ihlalinin credential stuffing saldırısından kaynaklandığını söylüyor.
  • İlk veri sızıntısı sınırlıydı ve tehdit aktörü Aşkenazilere ait 1 milyon satırlık veriyi yayımladı.
  • Tehdit aktörü daha sonra 23andMe hesaplarını hesap başına 1 ila 10 dolar arasında değişen fiyatlarla toplu halde satmayı teklif etti.
  • Açığa çıkan veriler arasında tam ad, kullanıcı adı, profil fotoğrafı, cinsiyet, doğum yılı, genetik köken sonuçları ve coğrafi konum yer alıyor.
  • İhlalden etkilenen hesaplar, kullanıcıların genetik akrabalarını bulmasına ve onlarla bağlantı kurmasına olanak tanıyan platformun 'DNA Akrabaları' özelliğine katılmıştı.
  • Tehdit aktörü, az sayıdaki 23andMe hesabına erişim sağladıktan sonra bu hesapların DNA akrabası eşleşme verilerini scrape etti.
  • 23andMe, bu erişim girişimlerinde kullanılan oturum açma bilgilerinin, kullanıcıların aynı bilgileri yeniden kullandığı diğer çevrimiçi platformlardaki veri ihlallerinden tehdit aktörü tarafından toplanmış olabileceğini belirtti.
  • Şirket, ek hesap koruma önlemi olarak iki faktörlü kimlik doğrulama sunuyor ve tüm kullanıcılara bunu etkinleştirmelerini öneriyor.
  • Kullanıcılara, parolaları yeniden kullanmaktan kaçınmaları ve tüm çevrimiçi hesaplarında güçlü ve benzersiz kimlik bilgilerini tutarlı şekilde kullanmaları tavsiye edildi.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-08
Hacker News görüşü
  • 23andMe'deki kullanıcı verisi hırsızlığının, daha önce sızdırılmış e-posta/şifre veritabanlarının site erişimi için kullanıldığı bir credential stuffing saldırısından kaynaklandığı ortaya çıktı.
  • Sorun, insanların şifrelerini yeniden kullanması ve iki faktörlü kimlik doğrulamayı etkinleştirmemesi nedeniyle ortaya çıktı.
  • Satışa sunulan veriler arasında, 23andMe'de çalışan başka ihlallerden elde edilen e-posta/şifreler ve 23andMe'nin ilgili kullanıcı hakkında sahip olduğu veriler yer alıyor.
  • Bu olay, "aktarılmış yetki" veya "ağ yetkisi" konusundaki endişeleri gündeme getirdi. Bu, bir kişiye erişim izni verildiğinde başka kişilere de erişim izni sağlanabileceği anlamına geliyor.
  • Bazı kullanıcılar bu güvenlik endişeleri nedeniyle genetik testlerden kaçınıyor.
  • Hacker'ların tüm verilere eriştiği, ancak özellikle yalnızca 1,3 milyon Aşkenaz Yahudisine ait kaydı sızdırmış olabileceği yönünde spekülasyonlar var.
  • Bazı kullanıcılar, veri saklama/korumadaki ihmaller için cezai sorumluluk doğana kadar bu tür ihlallerin yaşanmaya devam edeceğine inanıyor.
  • 23andMe'nin kolluk kuvvetleriyle iş birliği yapması ve üçüncü dereceden kuzen DNA örneklerine dayanarak bireyleri tespit edebilmesi, mahremiyet konusunda endişe yaratıyor.
  • Genetik test şirketi 1Health.io'nun hassas verileri koruyamaması nedeniyle FTC'ye 75.000 dolar ceza ödemesi, hükümetin mahremiyeti ciddiye almadığının bir göstergesi olarak görülüyor.
  • Bazı soy araştırma hizmetlerinin kullanıcılardan 23andMe kimlik bilgilerini istediği bildiriliyor; bu da bu sektörde güvenliğin zayıf olduğuna işaret ediyor.
  • Bu olay, insanların genetik bilgilerini özel şirketlere emanet etmesine yönelik eleştirileri tetikledi.