1 puan yazan GN⁺ 2023-10-19 | 1 yorum | WhatsApp'ta paylaş
  • 23andMe kullanıcı verilerinin sızdırıldığı ilk kez ortaya çıktıktan sadece 2 hafta sonra, aynı hacker 4 milyon kayıtlık yeni bir veri setini BreachForums'ta yayımladı
  • Golem adlı hacker, yeni veri setinde Great Britain kökenli kullanıcıların yer aldığını ve ayrıca “ABD ile Batı Avrupa'da yaşayan en zengin insanların” bilgilerinin de bulunduğunu iddia etti
  • TechCrunch, yeni sızdırılan verilerin bir kısmının daha önce açığa çıkan 23andMe kullanıcı ve genetik bilgileriyle eşleştiğini doğruladı
  • 23andMe, yeni sızıntıdan haberdar olduktan sonra verilerin gerçekliğini inceliyor; daha önce de kullanıcılara şifre değiştirme ve çok faktörlü kimlik doğrulamayı etkinleştirme çağrısı yapmıştı
  • Gerçek saldırı yöntemi, sızıntının toplam boyutu ve çalınan verilerin ne amaçla kullanılacağı hâlâ doğrulanmadığı için 23andMe kullanıcıları açısından ek risk sürüyor

BreachForums'ta yayımlanan ek veriler

  • Golem adlı hacker, siber suç forumu BreachForums üzerinde 23andMe kullanıcı bilgilerine ait 4 milyon kayıt içeren yeni bir veri seti yayımladı
  • Bu hacker, iki hafta önce de genetik test şirketi 23andMe'den çalınan kullanıcı verisi paketlerini sızdıran kişiyle aynı isim
  • TechCrunch, yeni sızdırılan verilerin bir kısmının kamuya açılmış 23andMe kullanıcı ve genetik bilgileriyle eşleştiğini doğruladı
  • Golem, söz konusu veri setinin Great Britain kökenli kişilere ait bilgileri içerdiğini iddia etti
    • Listede ayrıca “ABD ile Batı Avrupa'da yaşayan en zengin insanların” verilerinin de bulunduğunu öne sürdü
  • 23andMe sözcüsü Andy Kill, şirketin yeni sızıntıdan haberdar olduğunu ve verilerin gerçekten 23andMe verisi olup olmadığını incelediğini söyledi

23andMe'nin olay açıklaması ve hesap güvenliği önlemleri

  • 23andMe, 6 Ekim'de hackerların bazı kullanıcı verilerini ele geçirdiğini duyurdu ve saldırganların credential stuffing kullandığını açıkladı
    • Credential stuffing, başka veri sızıntılarında daha önce açığa çıkmış kullanıcı adı/e-posta ve şifre kombinasyonlarını deneme tekniğidir
  • Olay müdahalesi kapsamında 23andMe, kullanıcılardan şifrelerini değiştirmelerini istedi ve çok faktörlü kimlik doğrulamayı etkinleştirmelerini önerdi
  • Resmî olay müdahalesi sayfasına göre 23andMe, “üçüncü taraf adli bilişim uzmanlarının” yardımıyla soruşturma başlattı
  • Şirket, olayın nedenleri olarak müşterilerin şifre yeniden kullanımını ve isteğe bağlı DNA Relatives özelliğini gösterdi
    • DNA Relatives, genetik verileri eşleşen diğer gönüllü kullanıcıların verilerini görmeyi sağlayan bir özelliktir
    • Bu özellik açıksa, hackerlar tek bir hesaba girip birçok kullanıcının verisini scraping yoluyla toplayabilir

Hâlâ yanıt bekleyen sorular

  • Hackerların gerçekten credential stuffing kullanıp kullanmadığı ya da başka bir yöntem uygulayıp uygulamadığı belirsiz
  • Çalınan kullanıcı verilerinin toplam miktarı henüz bilinmiyor
  • Hackerların verileri nasıl kullanmayı planladığı da doğrulanmış değil
  • Bu olay birkaç ay önce gerçekleşmiş ya da en azından o zaman başlamış olabilir
    • 11 Ağustos'ta Hydra adlı başka bir siber suç forumunda bir hacker, 23andMe kullanıcı verisi seti sattığını duyurdu
    • TechCrunch analizine göre bu veri seti, iki hafta önce sızdırılan kullanıcı kayıtlarının bir kısmıyla eşleşiyor
    • Hydra'daki hacker, 23andMe kullanıcı verilerinden 300TB'a sahip olduğunu iddia etti ancak kanıt sunmadı
  • Şu ana kadar veri sızıntısının tam kapsamı net değil ve 23andMe de ne kadar verinin çalındığını henüz belirleyebilmiş görünmüyor

1 yorum

 
GN⁺ 2023-10-19
Hacker News yorumları
  • 23andMe'nin suçu müşterilerin parola yeniden kullanımına ve genetik olarak eşleşen diğer katılımcıların verilerini görmeyi sağlayan isteğe bağlı özellik DNA Relatives'a atması, asıl sorunu bulandıran bir söylem
    DNA Relatives paylaşım seçeneklerinde yeterli ayrıntı yok; temelde yalnızca iki kadar seviye var ve bu yeterli değil
    Ayrıca 23andMe, DNA Relatives'a katılan kişilere en yakın 1.500 kişiye kadarını gösterecek şekilde sınır koyuyor; bu yapıdaysa bir saldırgan yalnızca birkaç bin hesabı ele geçirerek veritabanının büyük bölümünden haplogrup, etnik köken tahmini, adlar, profiller, akraba listeleri ve coğrafi köken bilgilerini toplayabilirdi
    Bu 1.500 kişi sınırı teoride yardımcı olur, ancak yakın zamanda bir süre boyunca bu aralığın ötesindeki profiller de görülebiliyordu ve bunun istismar yönteminin bir parçası olup olmadığı kesin değil

    • 23andMe'nin “DNA Relatives” sayfasında şöyle yazıyor: “DNA Relatives özelliğine katılmayı seçerseniz kişisel tercihlerinize göre uyarlanmış birden fazla gizlilik seçeneğiniz vardır. Tam gizlilik için DNA Relatives'tan tamamen çıkabilirsiniz.”
      Tam gizlilik elde etmek için çıkmak gerekiyorsa bunun nasıl bir isteğe bağlı katılım özelliği olduğunu bilmiyorum
      Burada tam gizliliğin ne anlama geldiği ve makul biçimde beklenebilecek gizlilikten nasıl farklı olduğu da belirsiz
      Şirketin bu özelliğin isteğe bağlı katılım olduğu iddiasının mantıklı olmadığını düşünüyorum
    • Gerçekten berbat bir şirket. Sakladığı verileri koruma sorumluluğu kullanıcıya değil, tamamen şirkete aittir
      Kullanıcı parolasını yeniden kullandıysa bu tek bir hesabın ele geçirilmesinin nedeni olabilir, ancak şirket olsaydı zararın büyümesini kolayca azaltabilirdi
    • Daha fazla şirketin makul istek sınırlaması ve kötüye kullanım tespitini neden uygulamadığını anlamıyorum
      Yalnızca ele geçirilmiş bir hesap kümesiyle milyonlarca kişinin verisi kazınamamalı
    • 2 numara, Cambridge Analytica'nın Facebook verilerini toplu şekilde sızdırma yöntemine çok benziyor
      23andMe CEO'sunun da önümüzdeki 10 yıl boyunca Kongre'de sürükleneceğini merak ediyorum
    • Sonuçta DNA tabanlı bir sosyal ağdan ibaret
  • 23andMe'yi kullanmak hayatımdaki en büyük pişmanlıklardan biri. Gizliliği önemsemeye başlamadan önce Amazon'da indirime girdiğini görüp yapmıştım
    Silme talep etsem bile verilerimi gerçekten sileceklerine dair hiçbir güvenim yok; silseler bile o verinin bir modelin ya da araştırmanın bir yerlerine çoktan girip yaşamaya devam edip etmediğini bilmiyorum
    Verilerimin bu sızıntıya dahil olup olmadığını bilmek istemeyen bir yanım da var. Bu, kredi kartı ya da alışveriş verisi sızıntısından farklı hissettiriyor
    Daha da kötüsü, 23andMe'ye uzun süredir girmemiş olmam ve muhtemelen düzgün bir parola güvenliğine dikkat etmeye başlamadan önce olması; bu yüzden şaşırtıcı değil

    • Çok da önemli olmayabilir. Genetik eşleştirme modelleri o kadar ilkel ki bu veride çok büyük bir değer yok
      Facebook ve Google'ın insanları manipüle etmek için kullanabileceği çok daha doğru bir resme sahip; 23andMe ise merak unsurundan fazlası değil
      Benim verilerim de muhtemelen bu sızıntının içindedir, ama buna pişman olmak için hayatımdan 1 saniye bile harcamayacağım
      Toplu davadan bir şey alabilecek miyiz diye beklemek yeter. Experian hack'inde olduğu gibi postayla acınacak kadar küçük bir çek gelirse en azından sehpanın üstüne koyacak bir şeyim olur
    • Ben de meraktan büyük hizmetlerden birini kullandım ve onun da şimdiye kadar hack'lenmiş olma ihtimali yüksek
      Ancak takma adla kaydoldum, test kitini babama verdim ve bir halam/teyzem de test yaptırdı
      Çok doğru değildi ama merakımı gidermeye yetti
      Eninde sonunda her şey bir gün hack'lenir. Ünlü bir hacker'ın söylediği gibi, söylediğiniz ya da yazdığınız her şeyin bir gün kamuya açık bilgi olacağını varsaymalısınız
      Ek olarak, “bunu babana nasıl yaparsın” diyecekler olabilir; ama onu tanısanız anlardınız. Neredeyse şebekeden bağımsız yaşıyor ve yakında vefat etmesi bekleniyor; halam/teyzem ise zaten vefat etti
    • “O verinin bir modelin ya da araştırmanın içinde yaşamaya devam etmesi” ile ilaç geliştirme veya tıbbi araştırma gibi şeyleri kastediyorsanız bunun neden kötü olduğunu anlamıyorum
    • Bu olayın, siz bir hata yapmasanız bile hata yapan kişiyle akraba olmanız halinde neredeyse dahil olduğunuz bir yapıda olduğunu anlıyorum
    • Silme talebinde bulunmadığını mı söylüyorsun? Sildiysen hacker'ın verileri elinde bulundurmama olasılığı yüksek
  • Sızıntıdan etkilenenlerden biriyim. Teknik açıdan bilgiliyim, güvenliği de iyi bilirim ve her yerde benzersiz, güvenli parolalar kullanırım.
    Bu şirket ve saçma sapan sorumluluk savuşturması gerçekten mide bulandırıcı.
    Bu, kurumsal doxxingten farksız. Kullanıcıların yüzüne tüküren dev şirketlerdeki tek tek yöneticiler bu tür olaylardan kişisel olarak sorumlu tutulana kadar tekrarlanmaya devam edecek.
    Çünkü o zamana kadar gerçekten umursama yükümlülükleri yok. Biz sadece para basma makinesine giren hammaddeden ibaretiz.
    Beni sızıntının kendisinden çok hesap verilebilirliğin olmaması öfkelendiriyor.
    Yorumlarda kurbanı suçlayan havayı görmek şoke edici.

    • 23andMe, on binlerce müşteri hesabının credential stuffing saldırısıyla ele geçirildiğine inandırmaya çalışıyor gibi görünüyor.
      Kişi başına 1.500 eşleşme olduğunu ve akrabaların çakışmadığını varsaysak bile, sızdırılan veri ölçeği olan yaklaşık 14 milyon kişiye ulaşmak için başarıyla ele geçirilmiş kabaca 10 bin hesaba ihtiyaç olur.
      Gerçekte ise akrabaları çakışan çok kişi olduğundan, 10 binden çok daha fazla hesabın saldırıya uğramış olması ve bu süre boyunca 23andMe’nin hiçbir şüpheli durum fark etmemiş olması gerekirdi. Bu pek inandırıcı değil.
      23andMe bu sızıntının temel nedeninin credential stuffing olduğunu iddia ediyor; ancak 2 ay önce Hydra Market’te ilk paylaşımı yapan hackerlar, 23andMe’nin akademik ve araştırma ortaklarına sağladığı API’yi basitçe kullandıklarını ya da kötüye kullandıklarını iddia etmişti.
      Hackerlar ham veriler dahil 300 TB veriye sahip olduklarını öne sürdü, ancak saldırının kapsamının bu kadar büyük olduğuna dair henüz kanıt sunmadılar. Yine de bu iddia doğruysa, bu ihlal credential stuffing’den ziyade API kullanımı iddiasıyla çok daha iyi örtüşüyor.
      Dolayısıyla saldırganın söylediği ölçek doğruysa, verilerin tamamının 23andMe’nin API’lerinden biriyle kazınmış olması credential stuffing’den çok daha olası. Ortak araştırmacılardan biri hacklenmiş olabilir ya da saldırganın tüm verileri yeniden kazımasına izin veren bir API erişim denetimi açığı olmuş, hatta hâlâ var olabilir.
      23andMe’nin sunduğu API’ler hakkında çok bilgi yok, ancak RapidAPI’de bir tane buldum (https://rapidapi.com/23andme/api/23andme); bir erişim denetimi açığı ya da yetki yükseltmeli kullanıcı hack’i olsaydı, tek bir kişiyi başlangıç noktası yapıp çeşitli endpoint’lerden verileri indirebilir, akraba endpoint’i üzerinden tüm akrabaları özyinelemeli biçimde takip ederek herkesi bir kez indirebilirdi. Bireyin tüm genomuna yönelik bir endpoint bile var.
      Şu aşamada 23andMe’nin savunma argümanına ciddi kuşkuyla yaklaşıyorum; ancak saldırgan ham verilere sahip olduğuna dair kanıt yayımlamadan, şirketin saldırının gerçek ölçeği konusunda yanıldığını ya da yalan söylediğini kanıtlamak zor. Yine de API kullanıldığı iddiası, 23andMe’nin sunduğu yöntemden çok daha mantıklı geliyor ve bu yüzden çok endişe verici.
    • OnlyFans içerik üreticilerinin kendi fenotiplerinin video ve seslerini göndermesine bu kadar hoşgörülü olunurken, 23andMe’nin insanları kaynak kodu düzeyinde yakalamasının müstehcen sayılmaması tuhaf.
    • DNA verinizi internete yüklediyseniz, güvenlik temellerini yeniden gözden geçirmenin zamanı gelmiş demektir.
    • Teknik bilgisi olan birinin neden böyle bir bal küpüne katıldığını anlayamıyorum. Neye inanıp güvendiğini bilmek isterdim.
    • Satın alırken sahte isim ve ön ödemeli banka kartı kullandınız mı? Ben öyle yaptığım için şanslı olduğumu düşünüyorum.
      Elbette gerçekten isterlerse, platformu kullanan akrabalar üzerinden beni izleyebilirler.
  • “23andMe müşterilerin parola yeniden kullanımını suçladı” deniyor; nasıl ifade ettiler bilmiyorum ama bu müşterinin değil, şirketin yetersizliği.
    Müşteriler parolaları yeniden kullanır ve kullanmaya devam edecek. Hassas kişisel olarak tanımlanabilir bilgi söz konusuysa, müşteri davranışını değiştirmeye çalışmaktansa iki adımlı doğrulamayı ya da Google SSO’yu zorunlu kılmak çok daha kolaydır.

    • Tek bir platformda yeniden kullanılan parolalar yüzünden credential stuffing ile milyonlarca hesabın ele geçirildiğine bir saniye bile inanmam.
    • Katılıyorum. Kullanıcının iki adımlı doğrulama ayarlamasını gerektirmeyen e-posta bağlantısı doğrulaması yapabilirlerdi.
    • İki adımlı doğrulama var, ancak bu özellik çıkmadan önce oluşturulmuş ve tekrar giriş yapıp ayarlamamış milyonlarca hesap olması çok olası.
      SMS’ten daha güvenli bir kimlik doğrulama uygulaması yöntemi, fakat kullanıcıların kabul etmesini sağlamada daha zahmetli olduğu için benimsenme oranını etkilemiş olabilir.
    • Çok faktörlü kimlik doğrulamayı zorunlu kılamama başarısızlığı.
  • 23andMe, farkına varmadan müşteri verilerinden 300 TB sızdırdıysa bu ihmal gibi görünüyor. Alarm olması gerekmez miydi?

    • “Bob, bu ay AWS faturası neden bu kadar yüksek… ah kahretsin.”
    • Credential stuffing değilse, hacim anomali tespitinden kaçınmak için IP başına günde birkaç GB çekmiş olabilirler.
      Yine de 23andMe’nin müşteri depolamasında yeni coğrafi konumları gösteren tespit ya da kontrolleri olmalıydı. Çünkü her müşterinin hedef konumunu sahtelemeleri pek mümkün değil.
      Ya da yönetici düzeyindeki bir hesapla verilere erişildiğinde bile denetim izi ve onay akışı olan bir yetkilendirme süreci bulunmalıydı.
  • Ödeme yapan müşterileri suçlayıp kendi sistem güvenliği başarısızlığını örtmeye çalışmaları şaşırtıcı.
    Kullanıcıları kontrol edemezsiniz ama güvenlik duruşunuzu kontrol edebilirsiniz. 23andMe yönetiminin tutumu ve muhakemesi berbat.

    • Bu tepkiden sızan tavır, verilerin sızdığı için üzgün olmaktan çok, artık o verilerden para kazanamayacakları için üzülüyorlar gibi.
      23andMe’nin ürünü kullanıcının DNA’sı; sadece sindirmesi kolay bir biçimde güzelce paketlenmiş durumda.
  • Credential stuffing ile milyonlarca kaydın çalındığını tespit edemedilerse, bu da şirket için daha iyi bir mazeret değil.
    Şirketlerin kendi davranışlarının sorumluluğunu üstlendiğini görmeden önce ölecekmişim gibi geliyor; bu yüzden şaşırtıcı da değil.

  • 23andMe ben lisedeyken çıkmıştı ve fen bilgisi öğretmenlerimden biri, bir ders saatinin tamamını bu hizmeti neden asla kullanmamamız gerektiğini anlatmaya ayırmıştı.
    Dürüst olmak gerekirse aldığım en değerli dersti; onun sayesinde yanına bile yaklaşmayı hiç düşünmedim.
    Veri gizliliğinin okullarda zorunlu sağlık dersi gibi bir şeye eklenmesi gerektiğini düşünüyorum. Gerçi belirlenmiş müfredat muhtemelen lobicilikle mahvedilir ve gerçekten değerli şeyler öğretilmez.

    • O dersin neden bu kadar değerli olduğunu bilmiyorum. Ayrıca 23andMe kullanmanın neden birinin hayatındaki en büyük pişmanlık olduğunu da bilmiyorum.
      DNA’da özel olan ne var?
  • İlgili son yazılar:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - Ekim 2023, 20 yorum
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - Ekim 2023, 3 yorum
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - Ekim 2023, 2 yorum

  • “Genetik test şirketlerinin topladığı bilgi türleri, şu anda ABD’nin sağlık bilgilerini koruma yasası olan HIPAA kapsamında korunmuyor.”
    Görünüşe göre genetik test sektörü lobicileri işlerini iyi yapmış.

    • Fiziksel DNA korunan sağlık bilgisi sayılıyorsa, DNA bıraktığımız her yerin bir doktor muayenehanesiyle aynı güvenliğe sahip olması gerekir.
      Ama DNA analiz edilerek ortaya çıkarılan veriler, örneğin genetik hastalık taşıyıp taşımadığınız gibi bilgiler, korunan sağlık bilgisi olmalı.
      Tek bir saç telini işlediniz diye “korunan sağlık bilgisi değil” durumundan “artık korunan sağlık bilgisi” durumuna geçebilmesi tuhaf.
      “Hangi noktadan itibaren korunan sağlık bilgisi olur?” yanıtlaması zor bir soru olurdu.
      Kişisel olarak DNA ile ilgili verilerin korunması için HIPAA’dan farklı, ayrı bir çerçeve gerektiğini düşünüyorum.
    • Bunun dayanağı var mı? Gerçekten hiç incelendi mi, yoksa sadece uydurma mı?