23andMe证实,一次近期的数据泄露事件导致约690万用户数据被泄露。该公司发言人Andy Kill在发给The Verge的电邮声明中表示,这次泄露影响了大约550万使用了DNA Relatives功能的用户,这一功能允许相似基因构成的用户进行配对,还有140万人的家族树信息被非法获取。
12月1日深夜,23andMe在其博客文章更新并向美国证券交易委员会(SEC)提交的文件中表示,一名黑客通过使用凭证填充攻击:使用在其他安全漏洞中获取的账户信息进行登录(通常是由于密码重复使用),直接进入了0.1%用户账户,即约14000名用户。拥有这些账户权限后,黑客能够使用DNA Relatives功能来与可能具有相似祖源的其他会员进行配对,并获取来自数百万其他账户的额外信息。
该公司在周五的声明中提到,黑客还通过Relatives功能访问了“大量文件”,其中并未包括上述的具体数字。
Kill表示:“我们至今未发现我们的系统出现数据安全问题的迹象,或者23andMe是这些恶意攻击的账户凭证的来源。”这一表述与现实情况:69万用户信息已落入攻击者手中存在矛盾。大部分用户之所以受到攻击影响,是因为他们选择了由23andMe提供的功能,然而该公司在防止数据泄露方面做得不足,无论是限制信息访问还是加强账户安全方面。
第一次公开出现问题的迹象是在10月,当时23andMe证实用户信息在暗网上遭到销售。之后遗传测试网站表示,他们正在对黑客声称他们泄露了英国400万名用户和“居住在美国及西欧的最富有的人”的遗传资料进行调查。
被泄露的550万份DNA Relatives档案包括了在最初的凭证填充攻击中未被包含的用户。被泄露的信息包括显示名字、与其他人的预测关系、与配对用户共享的DNA量、血统报告、用户自我上报的位置、祖先出生地点、家庭名字、用户头像等。
另有140万在DNA Relatives功能中被获取的用户的家族树信息也被访问。该功能也包含了显示名字、亲属关系标签、出生年份以及自我上报的位置。但并未包含网站上可能与用户有关联的亲属共享的DNA比率或匹配的DNA片段。
23andMe表示,他们正通知所有受到此次数据泄露影响的用户。该公司已经开始警告用户重置密码,并且现在要求所有新老用户都开启双步验证,这在以前只是一个可选项。
#免责声明#
①本站部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
②若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
③如果本站有侵犯、不妥之处的资源,请联系我们。将会第一时间解决!
④本站部分内容均由互联网收集整理,仅供大家参考、学习,不存在任何商业目的与商业用途。
⑤本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与任何商业和非法行为,请于24小时之内删除!
