Представители биотехнологической компании 23andMe официально подтвердили, что в октябре 2023 года хакеры скомпрометировали тысячи аккаунтов и получили доступ к личной информации примерно 6,9 млн пользователей.
23andMe предлагает ДНК-тестирование и специализируется на использовании генетической информации для медицинских исследований и поиска лекарств, для чего заказчику достаточно предоставить компании образец своей слюны, отправив его по почте.
Напомним, что впервые о компрометации клиентов компании 23andMe, специализирующейся на генетических исследованиях, стало известно этой осенью.
Тогда на хак-форуме были опубликованы первые образцы данных, похищенных у компании: один файл содержал миллион строк данных об ашкенази, а другой — данные более 300 000 пользователей китайского происхождения. Среди украденных данных была информация об оценке происхождения, данные о фенотипе, медицинская информация, пол, возраст, фотографии, идентификационные данные, дата последнего входа в систему и так далее.
После этой утечки представители 23andMe заявили, что никакой кибератаки не было, и хакерам якобы удалось собрать данные с помощью скраппинга и атак типа credential-stuffing. То есть злоумышленники использовали учетные данные пользователей, утекшие ранее, в ходе других взломов. Таким образом хакеры получали доступ к аккаунтам на 23andMe и собирали конфиденциальную информацию.
Стоит пояснять, что хакерам удалось собрать немало данных, так как у многих пользователей была включена функция DNA relative, которая позволяет видеть профили других людей с совпадениями ДНК и находить таким образом потенциальных родственников.
Недавно стало известно, что эта информация подтвердилась в официальном отчете, который 23andMe позже подала Комиссию по ценным бумагам и биржам США. Так, в компании подсчитали, что злоумышленники получили доступ к учетным записям примерно 0,1% пользователей (около 14 000 человек), использовав ранее взломанные и украденные пароли.
Документ гласит, что эта атака привела к утечке «значительного количества файлов, содержащих информацию из профилей других пользователей». Однако в 23andMe не сообщали, сколько людей в целом пострадали от этой атаки и работы функции DNA relative.
Эту информацию решили уточнить журналисты издания TechCrunch, направив свои вопросы представителям 23andMe. В компании ответили, что под «другими пользователями» подразумевались еще 6,9 млн человек, которых затронула эта атака.
Так, в письме представитель компании сообщил, что хакеры получили доступ к личной информации около 5,5 млн человек, которые пользовались функцией DNA Relatives. Похищенные в итоге данные включали имя, год рождения, информацию о родстве, процент ДНК-совпадений с родственниками, сведения о предках и местоположении (эту информацию пользователи указывали самостоятельно).
Также компания сообщила, что для еще одной группы людей (около 1,4 млн человек), использовавшей DNA Relatives, были раскрыты данные профилей Family Tree, в которых содержались имена, информацию о родстве, год рождения, данные о местоположении (которые пользователь сообщил сам).
Таким образом получается, что утечка данных затронула примерно половину всей пользовательской базы 23andMe, которая составляет 14 млн человек.