1 puan yazan GN⁺ 2023-10-08 | 1 yorum | WhatsApp'ta paylaş
  • Genetik test hizmeti 23andMe’nin kullanıcı verileri hacker forumlarında dolaşıma girdi; şirket bunun nedenini parola yeniden kullanımını hedefleyen credential stuffing olarak değerlendiriyor
  • Saldırgan, başka çevrimiçi platformlardaki ihlallerde açığa çıkan oturum açma bilgileriyle 23andMe.com hesaplarına erişti; şirket şu ana kadar kendi iç sistemlerinde ihlal belirtisi olmadığını açıkladı
  • Açığa çıkan öğeler arasında gerçek ad, kullanıcı adı, profil fotoğrafı, cinsiyet, doğum tarihi, genetik soy sonuçları, coğrafi konum gibi kişisel olarak yüksek düzeyde tanımlayıcı bilgiler bulunuyor
  • İlk örnek, Ashkenazi kişilere ait 1 milyon satır veriydi; ardından 4 Ekim’de hesap başına 1-10 dolar fiyatla toplu satış teklifi geldi
  • DNA Relatives özelliğini açmış hesapların eşleşme verileri kazınarak alındı; bu da isteğe bağlı sosyal özelliklerin beklenmedik bir kişisel veri sızıntısı yolu olabileceğini gösteriyor

Hacker forumlarında doğrulanan 23andMe verileri

  • 23andMe, kendi platform kullanıcı verilerinin hacker forumlarında dolaşımda olduğunun farkında ve bunu credential stuffing saldırısından kaynaklanan bir sızıntı olarak değerlendiriyor
  • Şirket, müşterilerin tükürük örneklerini laboratuvara göndermesiyle soy ve genetik yatkınlık raporları sağlayan ABD merkezli bir biyoteknoloji ve genomik şirketidir
  • Bir tehdit aktörü, genetik şirketinden çaldığını iddia ettiği veri örneğini yayımladı; birkaç gün sonra da 23andMe müşteri veri paketlerini satışa sundu

Credential stuffing ve şirketin açıklaması

  • Bir 23andMe sözcüsü, forumda paylaşılan verilerin gerçek 23andMe verileri olduğunu doğruladı
  • Saldırganın, başka ihlallerde açığa çıkan kimlik bilgilerini kullanarak 23andMe hesaplarına eriştiği ve hassas verileri çaldığı anlaşılıyor
  • Şirket, şu anda kendi sistemleri içinde bir veri güvenliği olayı yaşandığına dair belirti bulunmadığını açıkladı
  • İlk inceleme sonuçlarına göre, kullanıcıların birden fazla çevrimiçi platformda yeniden kullandığı oturum açma bilgilerinin başka olaylarda sızdırıldıktan sonra saldırganlar tarafından toplanmış olması muhtemel

Sızdırılan ve satılan verilerin kapsamı

  • İlk yayımlanan veri sınırlıydı, ancak tehdit aktörü Ashkenazi kişilere ait 1 milyon satır veriyi paylaştı
  • 4 Ekim’de, satın alma miktarına bağlı olarak 23andMe hesap başına 1-10 dolar fiyatla veri profillerini toplu olarak satmayı teklif etti
  • Açığa çıkan bilgiler arasında şu öğeler yer alıyor
    • Tam ad
    • Kullanıcı adı
    • Profil fotoğrafı
    • Cinsiyet
    • Doğum tarihi
    • Genetik soy sonuçları
    • Coğrafi konum

DNA Relatives özelliği üzerinden yayılma

  • Satılan hesap sayısı, açığa çıkan kimlik bilgileriyle ele geçirilen 23andMe hesaplarının sayısıyla birebir örtüşmüyor
  • Ele geçirilen hesaplarda 23andMe’nin DNA Relatives özelliği açık durumdaydı
  • DNA Relatives, kullanıcıların genetik akrabalarını bulup onlarla bağlantı kurmasını sağlayan bir özelliktir
  • Saldırgan, az sayıda 23andMe hesabına eriştikten sonra bu hesapların DNA Relatives eşleşme verilerini kazıdı
  • Bu olay, belirli bir özelliğe katılımın beklenmedik kişisel veri sızıntısına yol açabileceğini gösteriyor

Kullanıcıların alabileceği koruma önlemleri

  • 23andMe, hesapları korumak için iki adımlı doğrulama sunuyor ve tüm kullanıcılara bunu etkinleştirmelerini öneriyor
  • İlgili yönergelere Adding 2-Step Verification to Your 23andMe Account üzerinden ulaşılabilir
  • Kullanıcılar parola yeniden kullanımından kaçınmalı ve tüm çevrimiçi hesapları için güçlü, birbirinden farklı kimlik bilgileri kullanmalıdır

1 yorum

 
GN⁺ 2023-10-08
Hacker News yorumları
  • Yanlış okumadıysam, biri zaten sızdırılmış bir e-posta/parola veritabanına sahipti ve bunu 23andMe’de deneyip giriş başarılı olunca erişilebilen verileri aldı gibi görünüyor.
    23andMe’nin çok kapsamlı ve kişisel verilere sahip olduğu doğru, ama bu tür bir saldırı kelimenin tam anlamıyla herhangi bir web sitesine yapılabilir.
    Asıl nokta, insanların parolalarını yeniden kullanmış olması ve iki aşamalı kimlik doğrulamayı da açmamış olmaları.
    Dolayısıyla satıştaki veritabanı, başka sızıntılardan gelen e-posta/parola çiftleri arasında 23andMe’de de işe yarayanlardan ve o hesaplarda bulunan 23andMe verilerinin listesinden ibaret.
    Kesin konuşmak gerekirse bunu 23andMe’nin kendi sistemlerinin ihlali olarak görmek zor.

    • Öyle olsa bile 23andMe’nin bunu daha iyi engellemesi gerekirdi.
      Yeni bir IP’den hesap girişine neden ek doğrulama yapmadan izin verdiklerini bilmiyorum.
      Ellerinde e-posta olduğu için en azından e-posta tabanlı iki aşamalı doğrulama yapabilirlerdi; başkalarının da söylediği gibi CAPTCHA da saldırıyı daha yavaş ve pahalı hale getirebilirdi.
      Benim çalıştığım yerde ikisi de kullanılıyor, bu yüzden bu saldırının “kelimenin tam anlamıyla herhangi bir web sitesine yapılabileceği” doğru değil.
      Üstelik halka açık bir şirket olan olgun bir firmanın milyonlarca hesap ölçeğinde credential stuffing’e izin vermiş olması utanç verici.
    • Bence bunu o şekilde okumamak gerek.
      İnsanların erişebildiği şeylerin en önemlisi tam ham DNA profiliydi ve mağdurların önemli bir kısmı, kendi hesapları güvenli olsa bile “Relatives” özelliğine onay vermiş kişiler yüzünden açığa çıktı.
    • Şu soru sorulabilir:
      İki aşamalı kimlik doğrulamanın kapalı olması”, “çok kapsamlı ve kişisel veriler” ile bir arada var olmasına izin verilecek bir şey mi?
    • Bunun sofistike bir saldırı olmadığı doğru.
      Hayal kırıklığı yaratan taraf, bu saldırının büyük ölçekte çok işe yaramış olması.
      Bazı web sitelerinde bu tür saldırılar ölçekli şekilde yürütülebilir; ancak uygun metrikleri seçip izler ve alarm kurarsanız, alıcı tarafta oldukça gürültülü biçimde kendini belli eden bir türdür.
      “Şu anda sistemlerimiz içinde bir veri güvenliği olayı yaşandığına dair bir işaret yok” dediler, ama o sistem müşteri verilerini çıkarmak için kullanıldıysa ve bunu ancak müşteri verileri satıldıktan sonra fark ettilerse, işe o kısmı iyileştirmekten başlamalılar.
      Açıklamanın bu kadar geç yapılmasına bakınca, bunu ancak basın soruları geldikten sonra öğrenmiş olmaları da olası görünüyor.
    • Web siteleri, bilinen kırılmış parolalarla karşılaştırma yaparak credential stuffing’i azaltmalı.
      Troy Hunt’ın hash’lenmiş parola veritabanını indirip giriş sırasında kontrol etmek ve parola sızmışsa kullanıcıyı e-posta ile parola sıfırlama akışına yönlendirmek yeterli.
      Ya da API de kullanılabilir.
      Çok basit ve 2017 civarından beri kabul görmüş en iyi uygulama olduğunu düşünüyorum.
      Bu %100 23andMe’nin sorumluluğu.
      https://haveibeenpwned.com/Passwords
  • Şirketler “geçişli yetkiler”i ya da “ağ yetkileri”ni ciddi biçimde yeniden değerlendirmeye başlar mı merak ediyorum.
    Bu, Facebook’un geçmişte büyük darbe aldığı şeye çok benziyor.
    Arkadaşlarımın tüm verilerini görme yetkim vardı ve eskiden tek bir düğmeyle, bunu isteyen birinin yalnızca benim bilgilerimi değil arkadaşlarımın bilgilerini de görmesine izin verebiliyordum.
    Bilgisayar bilimi açısından mantıklı: Ben birine tüm verilerimi görme izni verirsem, o kişinin bunları başka kimlerle paylaşacağını artık kontrol edemem.
    Ama insan açısından bakınca çoğu kişi, sana erişim vermemin fiilen tüm dünyaya erişim vermek anlamına geldiğini düşünmez.
    Bu tür ağ yetkileri, söz konusu verileri elinde tutan şirketi büyük bir hedef haline getirir.
    Çünkü saldırgan yalnızca birkaç hesabı ele geçirerek üstel biçimde daha fazla veri elde edebilir.

    • Arkadaşın tüm bilgileri değil, o arkadaşın paylaştığı alt küme görünmüyor mu?
      Yani yazarın arkadaşının arkadaşlarına görünür olacak şekilde ayarladığı kapsam.
  • Bu tweet’e göre hacker’ların tüm verileri elde etmiş ama yalnızca bir kısmını, yani 1,3 milyon kaydı sızdırmış olma ihtimali var.
    O kısmın Aşkenaz Yahudilerine ait veriler olduğu söyleniyor.
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Öyleyse az sayıda ihlal edilmiş hesapla bu kadar çok verinin nasıl elde edildiği açıklanıyor.
      Aşkenaz Yahudileri, Avrupa’nın geri kalan topluluklarına kıyasla genetik olarak görece izole kalmıştı ve nispeten küçük bir kurucu topluluktan başladı.
      Bu yüzden standart metriklere göre genetik olarak birbirleriyle uzak akraba gibi algılanırlar.
      Yani tipik bir 23andMe Aşkenaz Yahudisi müşteriye, diğer müşterilere kıyasla çok daha fazla akraba gösterilmiş ve buna bağlı olarak çok daha fazla profili görebilmiş olabilir.
    • 23andMe kullanıcısıyım ve Aşkenaz genetiğim yüksek sayılır; verilerimin de sızmış olacağını tahmin ediyordum ama yoktu.
      Bu yüzden bunun tüm Aşkenaz verileri olma ihtimali düşük.
    • O tweet’te bunun yeniden kullanılan parolalardan yararlanılmasından daha fazlası olduğuna dair hiçbir kanıt yok.
      Tüm veri olduğuna dair de kanıt yok.
    • Yüz yıl yaşasam da insanların neden Yahudilere takıntılı olduğunu anlayamayacağım sanırım.
    • Yine neo-Nazi terörü; 2020’ler gerçekten harika /s
  • İlginç bir fikir olduğunu düşünsem de, tam da bu yüzden bu tür genetik testleri sürekli reddettim.

    • Sadece bu da değil; tüm akrabalarının da test yaptırmamasını sağlamalısın.
    • Simpsons’ta Homer’ın hükümetin herkesin DNA’sını dosyada tuttuğunu öğrenip sorduğu, buna da “1932’den beri bir penny’ye dokunan herkes” gibi bir yanıt verilen bir şaka olduğunu hatırlıyorum.
      Meğer bu kadar karmaşık olmasına gerek yokmuş; insanlara bizzat postayla göndertmek yeterliymiş ;)
    • Ben de aynı fikirdeyim ve bu verileri koruyacak düzenlemeler olmasını isterdim.
      Ancak artık iş işten geçmiş gibi görünüyor.
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • Sahte isimle yapmak yeterli olmaz mı?
    • Ben de öyleyim.
      Gelecekte de böyle servisleri deneyeceğimi sanmıyorum
  • Bunu artık defalarca söyledim ama veri saklama ve korumadaki ihmaller için cezai sorumluluk doğana kadar böyle şeyler olmaya devam edecek
    Şirketlerin umurunda değil; PR’da ne derlerse desinler, kendileri doğrudan risk altına girene kadar umursamayacaklar
    Her ihlal olduğunda British Petroleum gibi “Gerçekten çok özür dileriz” diye tekrar edip insanlara LifeLock falan satın alıyorlar
    Tamamen saçmalık

    • 23andMe’nin neden cezai sorumluluk taşıması gerektiğini anlamıyorum
      Habere göre şirketin kendisi ihlale uğramamış; başka ihlallerde açığa çıkan yeniden kullanılmış kimlik bilgilerini kullanan tekil hesaplar ele geçirilmiş
      İki faktörlü kimlik doğrulama olmalıydı, ama iki faktörlü kimlik doğrulamanın olmamasını suç haline getirmemiz gerektiğini düşünmüyorum
  • Ekran görüntüsündeki siteye girdim; birileri Filipinler ziyareti sırasında elde edilmiş NATO sızıntı materyali diye “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT vb.” satıyordu
    2023’e ait Ukrayna vatandaş veritabanı listesi de vardı
    CIA, lütfen beni öldürmeyin! Yemin ederim tesadüfen gördüm
    Neyse, işe geri dönmem gerek

    • O site neresi?
  • 75 bin dolar mı
    Hükümetin mahremiyeti ciddiye almadığını söylemeden göstermenin yolu bu
    3 hafta önce genetik test şirketi 1Health.io, hassas genetik ve sağlık verilerini gerektiği gibi korumadığı, verilerini aldığı müşterilere bildirim yapmadan veya onaylarını almadan gizlilik politikasını geriye dönük değiştirdiği ve müşterileri verilerini silebilecekleri konusunda yanılttığı iddialarını çözmek için FTC’ye 75 bin dolar ceza ödemeyi kabul etti

    • Ambalajdaki narsistçe “welcome to you” ifadesini görmek bile midemi bulandırmaya yetiyor; bu iş için sadece 75 bin dolar ha
      Umarım şirket tamamen çöker
    • Bu tür veriler sızdığında insanların sık sık öne sürdüğü canavarca sonuçları gerçekte görmüyoruz
      Yasaklı genetik araştırmalar yürütülmüyor, sigorta primleri artmıyor, bu bilgi yüzünden etnik temizlik yaşanmıyor
      Birkaç kimlik hırsızlığı ve banka dolandırıcılığı olabilir, ama genel olarak mevcut sistem bunlarla başa çıkabilir
      Diğer uçta yakalanıyorlar
      Büyük para cezaları istiyorsanız büyük zarar kanıtlamanız gerekir
    • Her zamanki gibi kapitalizm tersine işliyor
      Mahremiyeti gerçekten ciddiye alıyorsak, sorunu düzeltmeleri için 75 bin dolar destek vermeliyiz
      Mühendislik bütçesinden 75 bin dolar çekip alırsanız daha da kötü yaparlar ve daha fazla veri sızar
  • DNA’yı “eğlencesine” dizilemeye göndermenin mahremiyet etkilerinden söz edecek olursak, 23andMe zaten kolluk kuvvetleriyle iş birliği yapıyor
    Veri bilimi de yeterince gelişti; ben hiç DNA örneği vermemiş olsam bile üçüncü dereceden bir kuzenim örnek verdiyse kimliğimi tahmin edebilirler
    Ortalama bir kişinin yaklaşık 200 üçüncü dereceden kuzeni vardır

    • Bunun nasıl işlediğini biraz daha açıklayabilir misin
      Diyelim ki 200 üçüncü dereceden kuzenimden biri 23andMe çubuk testini yaptı ve sonra ben, muhtemelen ülkenin öbür ucunda, bir suç işledim
      Kolluk kuvvetleri DNA kanıtı topladı
      Şimdi ne oluyor?
    • Kolluk kuvvetleri, topladıkları DNA ile 23andMe veritabanında sorgu yapabiliyor mu
  • Bildiğim kadarıyla Leeds-Collins çizelgeleri oluşturan soybilim hizmetleri var ve bunlar kullanıcıdan 23andMe kimlik bilgilerini isteyerek çalışıyor
    Bazı üçüncü taraf bankacılık hizmetlerinin kullanıcıdan banka kimlik bilgilerini doğrudan istemesine benziyor
    Bu alanda gerçekten çok kötü güvenlik uygulamaları var

    • Bir süre 23andMe OAuth2 API vardı ve SNP’leri OAuth kapsamı olarak sunuyordu; bu durumda daha da üzücü
  • Birkaç yıl önce kaybettiğim ve artık e-posta adresi de olmayan babamın hesap parolasını 23andMe gönderebilir mi acaba