Множество утечек данных в 23andMe

Массовые утечки данных в компании 23andMe

Следующие шаги в групповом иске против фирмы по генетическому тестированию ожидаются в январе. ¶ Кредит: 23andme, notebookcheck.net

С августа по октябрь генетическая фирма 23andMe и ее пользователи стали объектом сообщений на тему генетического тестирования на темном вебе относительно миллионов пользовательских профилей и записей генетических данных, которые киберпреступники слили или взломали. Угрозовые акторы рекламировали различные сборники данных из утечек для продажи.

Согласно BleepingComputer и на основе информации от 23andMe, угрозовый актор получил доступ к некоторым пользовательским аккаунтам компании через credential stuffing, а затем собрал данные о совпадениях их ДНК. По словам 23andMe, функция Родственники по ДНК позволяет участникам находить генетических родственников. Она определяет родственников и недавних общих предков через сравнение ДНК между участниками, после чего пользователи могут скачать свои данные.

Согласно блогу 23andMe, компания считает, что преступники внедрили повторно используемые учетные данные из других взломов, чтобы получить доступ к учетным записям пользователей. Согласно тому же посту, у 23andMe нет никаких признаков наличия инцидентов с безопасностью данных в своих системах или того, что она была источником учетных данных, используемых в этих атаках.

В блоге DarkOwl от 11 августа пользователь с псевдонимом Дажбог сообщил на даркнет-рынке Hydra о наличии 10 миллионов записей ДНК от 23andMe для продажи. В своем посте он утверждал, что у него есть более 300 терабайт данных, которые он собирается продать за 50 миллионов долларов. DarkOwl является провайдером тёмной разведки. Согласно блогу DarkOwl, Дажбог утверждал, что кража пользовательских данных 23andMe произошла через API-сервис, используемый фармацевтическими компаниями. В посте от 14 августа Дажбог заявил, что продал все данные иранскому человеку. Никаких дальнейших постов от Дажбога не было.

Есть явное противоречие между сообщениями от TechCrunch и DarkOwl о том, что рынок Hydra был активен в августе, и сообщением BBC News о том, что правоохранительные органы закрыли рынок Hydra в апреле. Однако согласно истории BBC, правоохранительные органы боялись, что это не прекратит деятельность хакерской группировки Hydra; если им не удастся найти и арестовать их, вероятно, они попытаются создать новую платформу.

В соответствии с статьей TechCrunch и на основе ее анализа, набор данных из поста Hydra 11 августа соответствовал некоторым утечкам пользовательских записей, произошедшим в первую неделю октября.

2 октября угрожающий актор под именем Addka72424 опубликовал ссылку на базу данных на темно-сетевом рынке BreachForums в соответствии со статьей BleepingComputer. Предполагаемая база данных содержала миллион профилей пользователей еврейского происхождения от фирмы генетического тестирования 23andMe. Addka72424 сказал, что ссылка была получена из раннего поста пользователя Golem.

Согласно посту RecordedFuture, 3 октября пользователь Golem опубликовал базу данных из 7 миллионов файлов пользователей 23andMe на сайте BreachForums. Опубликованные ссылки на базы данных содержали 300 000 записей о людях китайского происхождения и еще миллион записей об ашкеназском происхождении.

Согласно статье BleepingComputer, в сообщении, датированном 4 октября, пользователь Golem с сайта BreachForums заявил, что имеет данные, включающие “индивидуальные наборы данных, прогнозы точного происхождения, детали гаплогрупп, информацию о фенотипе, фотографии, ссылки на сотни потенциальных родственников и, что самое главное, профили сырых данных.” Представитель 23andMe подтвердил достоверность данных, согласно статье BleepingComputer.

Угрозы, скачивающие или приобретающие украденные данные, могут нацеливаться на этнические группы с помощью мошенничества на основе ненависти, фишинга, махинаций, кражи личности и еще хуже, согласно эксперту по темно-сети Люку Родехефферу, заслуженному профессионалу по информационной безопасности (CISSP) и основателю и генеральному директору компании AlphaCentauri Cyber, предоставляющей услуги кибербезопасности и проведения расследований в темно-сети.

Согласно TechCrunch, угрозяющий актор Golem опубликовал дополнительные 4,1 миллиона профилей данных 17 октября. Согласно BleepingComputer, новый пост на BreachForums содержал записи, включающие людей из Великобритании и Германии. Согласно DailyMail, угроза актора была направлена на Великобританию и Германию из-за их поддержки Израиля.

2 ноября в ответ на просьбу комментария директор по связям с общественностью Энди Килл повторил заявления из публикации на блоге компании 23andMe.

В этом же блоге 23andMe о утечке данных фирма заявила, что пользователи должны использовать аутентификацию с двухфакторной проверкой и не повторно использовать пароли от других сайтов. Фирма генетического тестирования продолжает утверждать, что она не подверглась взлому данных и что не было внутренних системных или проблем с безопасностью.

Согласно адвокату Алессандре Мессинг, пострадавшей от утечки данных клиентке 23andMe, компания не уделяет должного внимания уровню ответственности, которую она должна уделять, учитывая чувствительность информации, которую она собирает и анализирует.

“Это немного безответственно провести такое нарушение, а затем переложить ответственность на потребителей, не принимая на себя ответственности или не обладая уровнем ответственности”, – сказала Мессинг.

В письме от 20 октября, доступном на сайте Senсategute, сенатор по округу Луизиана Билл Кэссиди (ЛЗ-Р), занимающий руководящую должность в Комитете Сената по здравоохранению, образованию, труду и пенсиям и являющийся врачом, подверг сомнению генерального директора 23andMe Энн Войчицки относительно нарушения, просив ее ответить до 3 ноября.

Вопросы сенатора касались утечки данных 1,3 миллиона ашкеназских и китайских клиентов, подтверждающей, что 23andMe не предоставила дату или подробности о том, когда криминальные хакеры впервые использовали уязвимость в ее системах. Сенатор отметил, что утечка произошла в период растущего глобального антисемитизма и антиазиатской ненависти, и преступники могут получать более высокие цены за информацию и увеличить угрозу со стороны потенциальных злоумышленников. Кэссиди задал 23andMe 11 вопросов о том, как они защищали информацию пользователей и каким образом произошла утечка.

По данным HealthcareInfoSecurity, против 23andMe было подано не менее 16 коллективных исков в результате нарушения. В одном из таких исков Tulchinsky v. 23andMe, inc., адвокаты из Reese LLP заявили, что иск был подан против 23andMe за необеспечение безопасности и защиты личной идентифицируемой информации (PII) истца и членов группы, хранящейся в информационной сети ответчика.

“Компания по генетическому тестированию 23andMe имеет законную обязанность обеспечивать безопасность данных согласно Закону о портативных данныва, Закону о защите потребителя Калифорнии (CCPA), Общеевропейскому регламенту по защите данных (GDPR) и другим нормативным документам. У нее также есть законное обязательство разглашать инциденты и риски, которые могут повлиять на жизнеспособность их инвестиций”, – сказал Пол Валенте, генеральный директор и сооснователь компании по управлению киберрисками сторонних лиц VISO TRUST, работающей на основе ИИ.

“Масштабные атаки на пароли, такие как stuffing и spraying, не являются новым явлением; они стали обычными уже почти десять лет. Для любой квалифицированной команды безопасности такие атаки не являются неожиданными или недостоверными”, – сказал Валенте. “Если компрометация нескольких аккаунтов можно объяснить повторным использованием пароля и последующим взломом, то миллионы аккаунтов подвергаются атаке по stuffing – это явный признак потенциальной небрежности”.

Согласно Адхирану Тирмалу, ведущему инженеру по решениям в фирме по безопасному программному обеспечению Security Compass, в конечном итоге вопрос о том, несет ли компания ответственность за использование внутренних мер безопасности, защищающих данные, независимо от того, повторяют ли потребители пароли, должен быть решен судами в каждом отдельном случае.

Никто не подтвердил, что учетные данные, которыми заполнили акторы угроз, были получены в результате нарушения в других организациях.

Что касается коллективного иска, согласно докету по адресу https://dockets.justia.com/docket/california/candce/5:2023cv05369/419693, дело было подано 19 октября 2023 года в окружной суд США для Северного округа Калифорнии. Председатель суда – Сьюзан ван Кюлен. 20 октября суд выдал повестку компании 23andMe, Inc.

Заявление по делу должно быть подано до 16 января 2024 года, а первая судебная конференция по делу назначена на 23 января.

Дэвид Гир – журналист, который фокусируется на вопросах, связанных с кибербезопасностью. Он пишет из Кливленда, штат Огайо, США.