23andMe предоставила больше информации о масштабах и объеме недавнего взлома, но вместе с этими подробностями появляется все больше вопросов, на которые нет ответов.
Появляются все новые подробности о взломе данных, о котором компания 23andMe, занимающаяся генетическим тестированием, впервые сообщила в октябре. В начале октября компания 23andMe заявила, что злоумышленники проникли в некоторые из ее учетных записей и, воспользовавшись этим доступом, выудили личные данные большего числа пользователей через сервис социального обмена, известный как DNA Relatives. В то время компания не сообщила, сколько пользователей пострадали, но хакеры уже начали продавать на криминальных форумах данные, которые, судя по всему, были взяты как минимум у миллиона пользователей 23andMe, если не больше. В заявлении Комиссии по ценным бумагам и биржам США, поданном в пятницу, компания сообщила, что "субъект угрозы смог получить доступ к очень небольшому проценту (0,1 %) учетных записей пользователей", или примерно 14 000, учитывая недавнюю оценку компании', что у нее более 14 миллионов клиентов.
Четырнадцать тысяч - это само по себе много людей, но это число не учитывает пользователей, пострадавших от действий злоумышленников', выкапывавших данные из DNA Relatives. В заявлении Комиссии по ценным бумагам и биржам США просто отмечалось, что в инциденте также участвовало "значительное количество файлов, содержащих информацию о профилях предков других пользователей"
В понедельник компания 23andMe подтвердила TechCrunch, что злоумышленники собрали личные данные около 5,5 миллиона человек, которые зарегистрировались в DNA Relatives, а также информацию еще 1.
Из группы в 5,5 млн человек хакеры похитили имена, последние логины, метки отношений, прогнозируемые отношения и процентное соотношение общих ДНК с совпадениями DNA Relatives. В некоторых случаях у этой группы были взломаны и другие данные, включая отчеты о предках и подробную информацию о том, где на хромосомах у них и их родственников совпадает ДНК, местоположение, место рождения предков, фамилии, фотографии профиля, годы рождения, ссылки на самостоятельно созданные семейные древа и другую информацию профиля. У меньшего (но все равно огромного) подмножества из 1,4 миллиона пострадавших пользователей DNA Relatives были скомпрометированы данные из вышеупомянутого конкретного профиля, известного как "Семейное древо". Похищенные данные включали отображаемые имена и метки родства, а также, в некоторых случаях, годы рождения и данные о собственном местонахождении.
На вопрос о том, почему эта расширенная информация не была включена в декларацию SEC, представитель 23andMe Кэти Уотсон сказала, что "мы лишь дополняем информацию, включенную в декларацию SEC, предоставляя более конкретные цифры"."
23andMe утверждает, что для взлома 14 000 учетных записей пользователей злоумышленники использовали технику, известную как credential stuffing - были обнаружены случаи, когда утечка учетных данных из других сервисов повторно использовалась в 23andMe. После инцидента компания заставила всех своих пользователей сбросить пароли и начала требовать двухфакторную аутентификацию для всех клиентов. В течение нескольких недель после того, как 23andMe раскрыла информацию о взломе, другие аналогичные сервисы, включая Ancestry и MyHeritage, также начали продвигать или требовать двухфакторную аутентификацию для своих аккаунтов.
В октябре и на этой неделе 23andMe вновь заявила, что считает взлом аккаунтов пользователей исключительно атаками с подстановкой учетных данных. Компания неоднократно отказывалась от комментариев, но многие пользователи отмечали, что они уверены в том, что их имена пользователей и пароли были уникальными и не могли быть раскрыты где-то еще в результате другой утечки.
По крайней мере в одном случае 23andMe в конечном итоге предоставила пользователю объяснения. Во вторник директор Агентства национальной безопасности США по кибербезопасности Роб Джойс отметил на своем личном аккаунте X (бывший Twitter): "Они раскрывают информацию об атаках на вброс учетных данных, но не говорят, каким образом учетные записи были выбраны для вброса. Это была уникальная учетная запись, а не та, которую можно взять из Интернета или с других сайтов". Джойс написал, что он создает уникальный адрес электронной почты для каждой компании, которую он использует для создания учетной записи. "Этот аккаунт больше НИГДЕ не используется, и его безуспешно пытались набить", - написал он, добавив: "Личное мнение: взлом @23andMe был НАСТОЛЬКО хуже, что они не скрывают, делая новое заявление."
Через несколько часов после того, как Джойс публично высказал эти опасения (и обратился в 23andMe с вопросом о его случае), Джойс сообщил, что компания связалась с ним, чтобы выяснить, что произошло с его аккаунтом. Джойс действительно использовал уникальный адрес электронной почты для своего аккаунта в 23andMe, но в 2014 и 2015 годах компания сотрудничала с MyHeritage, чтобы улучшить функцию "Семейное древо" DNA Relatives, которой, по словам Джойса, он впоследствии пользовался. Затем, отдельно, в 2018 году в MyHeritage произошла утечка данных, в результате которой уникальный адрес электронной почты 23andMe Джойса, очевидно, был раскрыт. Он добавляет, что благодаря использованию надежных и уникальных паролей как в MyHeritage, так и в 23andMe, ни одна из учетных записей не была успешно взломана злоумышленниками.
Анекдот подчеркивает важность обмена пользовательскими данными между компаниями и программными функциями, которые способствуют социальному обмену, когда информация является глубоко личной и напрямую связана с личностью. Возможно, в отчет SEC не попало большее число пострадавших пользователей, потому что 23andMe (как и многие другие компании, пострадавшие от нарушения безопасности) не хочет включать соскобленные данные в категорию нарушенных данных. Однако такие разграничения в конечном итоге затрудняют пользователям понимание масштабов и последствий инцидентов безопасности.
"Я твердо уверен, что кибербезопасность - это в основном проблема политики", - говорит Бретт Кэллоу, аналитик угроз из компании Emsisoft, занимающейся вопросами безопасности. "Нам нужны стандартизированные и единообразные законы о раскрытии информации и отчетности, предписанные формулировки для этих раскрытий и отчетов, регулирование и лицензирование переговорщиков. Слишком многое происходит в тени или затушевывается лаконичными словами. Это контрпродуктивно и помогает только киберпреступникам."
Кроме того, во вторник очевидный пользователь 23andMe Кендра Фи отметила, что 23andMe уведомляет клиентов об изменениях в условиях предоставления услуг, связанных с разрешением споров и арбитражем. Компания утверждает, что эти изменения "будут способствовать быстрому разрешению любых споров" и "упростят арбитражные разбирательства, когда подается несколько одинаковых исков". Пользователи могут отказаться от новых условий, уведомив компанию о своем отказе в течение 30 дней после получения уведомления об изменениях.
Обновлено в 10:35 вечера по восточному времени, 5 декабря 2023 года, чтобы включить новую информацию об аккаунте директора по кибербезопасности АНБ Роба Джойса' в 23andMe и более широких последствиях его опыта.
Обновлено в 10:35 вечера по восточному времени, 5 декабря 2023 года.