23andMe mengatakan peretas mengakses 'sejumlah besar' file tentang nenek moyang pengguna

Perusahaan pengujian genetik 23andMe mengumumkan pada hari Jumat bahwa peretas mengakses sekitar 14,000 akun pelanggan dalam pelanggaran data terbaru perusahaan.

Dalam pengajuan baru ke Komisi Sekuritas dan Bursa AS yang diterbitkan pada hari Jumat, perusahaan tersebut mengatakan bahwa berdasarkan penyelidikan atas insiden tersebut, mereka telah menetapkan bahwa peretas telah mengakses 0,1% basis pelanggannya. Menurut laporan pendapatan tahunan terbaru perusahaan, 23andMe memiliki “lebih dari 14 juta pelanggan di seluruh dunia,” yang berarti 0,1% adalah sekitar 14.000.

Namun perusahaan juga mengatakan bahwa dengan mengakses akun tersebut, para peretas juga dapat mengakses “sejumlah besar file yang berisi informasi profil tentang nenek moyang pengguna lain yang dipilih untuk dibagikan oleh pengguna tersebut ketika memilih untuk ikut serta dalam fitur Kerabat DNA 23andMe.”

Perusahaan tidak merinci “sejumlah besar” file tersebut, atau berapa banyak dari “pengguna lain” yang terkena dampak.

23andMe tidak segera menanggapi permintaan komentar, termasuk pertanyaan tentang nomor-nomor tersebut.

Pada awal Oktober, 23andMe mengungkapkan sebuah insiden di mana peretas mencuri beberapa data pengguna menggunakan teknik umum yang dikenal sebagai “penjejalan kredensial,” yaitu penjahat dunia maya meretas akun korban dengan menggunakan kata sandi yang diketahui, mungkin bocor karena pelanggaran data pada akun lain. melayani.

Namun kerugiannya tidak berhenti pada pelanggan yang akunnya diakses. 23andMe memungkinkan pengguna untuk ikut serta dalam fitur yang disebut DNA Relatives. Jika pengguna ikut serta dalam fitur tersebut, 23andMe membagikan sebagian informasi pengguna tersebut kepada orang lain. Artinya, dengan mengakses salah satu akun korban, peretas juga bisa melihat data pribadi orang-orang yang terhubung dengan korban awal tersebut.

23andMe mengatakan dalam pengajuannya bahwa untuk 14.000 pengguna awal, data yang dicuri “umumnya mencakup informasi leluhur, dan, untuk sebagian dari akun tersebut, informasi terkait kesehatan berdasarkan genetika pengguna.” Untuk sebagian pengguna lainnya, 23andMe hanya mengatakan bahwa peretas mencuri “informasi profil” dan kemudian memposting “informasi tertentu” yang tidak ditentukan secara online.

TechCrunch menganalisis kumpulan data curian yang dipublikasikan dengan membandingkannya dengan catatan silsilah publik yang diketahui, termasuk situs web yang diterbitkan oleh para penghobi dan ahli silsilah. Meskipun kumpulan data tersebut diformat secara berbeda, kumpulan data tersebut berisi beberapa pengguna unik dan informasi genetik yang cocok dengan catatan silsilah yang dipublikasikan secara online beberapa tahun sebelumnya.

Pemilik salah satu situs silsilah, yang beberapa informasi kerabatnya terungkap dalam pelanggaran data 23andMe, mengatakan kepada TechCrunch bahwa mereka memiliki sekitar 5.000 kerabat yang ditemukan melalui 23andMe, dan mengatakan “korelasi kami mungkin memperhitungkan hal itu.”

Berita tentang pelanggaran data muncul secara online pada bulan Oktober ketika peretas mengiklankan dugaan data satu juta pengguna keturunan Yahudi Ashkenazi, dan 100.000 pengguna Tiongkok di forum peretasan terkenal. Kira-kira dua minggu kemudian, peretas yang sama yang mengiklankan data pengguna awal yang dicuri mengiklankan dugaan catatan empat juta orang lainnya. Peretas mencoba menjual data masing-masing korban seharga $1 hingga $10.

TechCrunch menemukan bahwa peretas lain di forum peretasan berbeda telah mengiklankan lebih banyak lagi data pengguna yang diduga dicuri dua bulan sebelum iklan tersebut pertama kali dilaporkan oleh outlet berita pada bulan Oktober. Dalam iklan pertama tersebut, peretas mengklaim memiliki 300 terabyte data pengguna 23andMe yang dicuri, dan meminta $50 juta untuk menjual seluruh database, atau antara $1.000 dan $10.000 untuk sebagian data.

Menanggapi pelanggaran data, pada 10 Oktober, 23andMe memaksa pengguna untuk mengatur ulang dan mengubah kata sandi mereka dan mendorong mereka untuk mengaktifkan otentikasi multi-faktor. Dan pada tanggal 6 November, perusahaan mewajibkan semua pengguna untuk menggunakan verifikasi dua langkah, menurut pengajuan baru.