Xakep #305. Многошаговые SQL-инъекции
После того как хакеры выставили на продажу информацию миллионов человек, биотехнологическая компания 23andMe, специализирующаяся на генетических исследованиях, подтвердила, что допустила утечку данных своих клиентов.
23andMe предлагает ДНК-тестирование и специализируется на использовании генетической информации для медицинских исследований и поиска лекарств, для чего заказчику достаточно предоставить компании образец своей слюны, отправив его по почте.
На прошлой неделе в даркнете были опубликованы образцы данных, похищенных у 23andMe. Один файл, опубликованный злоумышленником, содержал миллион строк данных об ашкенази, а другой — данные более 300 000 пользователей китайского происхождения.
Среди украденных данных была оценка происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему и так далее.
Также в сообщении утверждалось, что глава 23andMe знал о взломе еще два месяца тому назад, но не раскрывал информацию об инциденте.
Несколько дней спустя тот же злоумышленник заявил, что готов продать различные наборы данных, принадлежащие клиентам компании. Так, хакер пишет, что суммарно в его распоряжении находится информация миллионов человек, и он готов продавать профили пользователей оптом, по цене от 1 до 10 долларов за один аккаунт 23andMe (в зависимости от размера сделки).
Сначала представители 23andMe отрицали сообщения о возможной утечке данных, заявляя, что все это «необоснованные утверждения». Однако позже в компании признали, что личные данные некоторых пользователей действительно оказались выставлены на продажу.
По словам представителей компании, хакерам удалось собрать данные с помощью скраппинга и атак типа credential-stuffing. То есть злоумышленники использовали учетные данные пользователей, утекшие ранее, в ходе других взломов. Таким образом хакеры получали доступ к аккаунтам на 23andMe и собирали конфиденциальную информацию.
За счет того, что у многих пользователей была включена функция «DNA relative», которая позволяет видеть профили других людей с совпадениями ДНК и находить потенциальных родственников, хакерам удалось собрать немало данных.
«Нам стало известно, что определенная информация о профилях клиентов 23andMe была собрана посредством доступа к отдельным учетным записям 23andMe.com. В настоящее время мы не обнаружили никаких признаков того, что в наших системах произошел инцидент с безопасностью данных.
Предварительные результаты расследования позволяют предположить, что учетные данные, использовавшиеся для попыток входа, могли быть получены злоумышленниками из наборов данных, утекших в ходе инцидентов на других онлайн-платформах, где пользователи повторно использовали те же учетные данные», — сообщили прессе в 23andMe.
О точном количестве пострадавших пользователей и затронутых компрометацией аккаунтов в компании пока ничего не сообщают.