基因分析公司 23andMe 称用户数据在撞库攻击中被盗

更多全球网络安全资讯尽在邑安全

23andMe 已向 BleepingComputer 证实，它知道其平台上的用户数据在黑客论坛上流传，并将此次泄露归因于撞库攻击。

23andMe 是一家美国生物技术和基因组学公司，为客户提供基因检测服务，客户只需将唾液样本发送到其实验室即可获得血统和遗传倾向报告。

最近，一名威胁行为者泄露了据称从一家遗传学公司窃取的数据样本，并在几天后提出出售属于 23andMe 客户的数据包。

最初的数据泄露是有限的，威胁行为者释放了德系犹太人的 100 万行数据。然而，10 月 4 日，威胁行为者提出以每个 23andMe 帐户 1 至 10 美元的价格批量出售数据配置文件，具体价格取决于购买的数量。

23andMe 发言人证实这些数据是合法的，并告诉 BleepingComputer，威胁行为者使用其他违规行为中暴露的凭据来访问 23andMe 帐户并窃取敏感数据。

23andMe 发言人表示：“我们获悉，某些 23andMe 客户资料信息是通过访问个人 23andMe.com 帐户来编制的”

“目前我们没有任何迹象表明我们的系统内发生了数据安全事件。”

“相反，这项调查的初步结果表明，这些访问尝试中使用的登录凭据可能是威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的，在这些平台上，用户回收了登录凭据。”

此次事件暴露的信息包括全名、用户名、头像、性别、出生日期、遗传血统结果和地理位置。

BleepingComputer 还了解到，网络犯罪分子出售的帐户数量并不反映使用暴露的凭据遭到破坏的 23andMe 帐户数量。

被入侵的账户选择了该平台的“DNA亲属”功能，该功能允许用户找到遗传亲属并与他们联系。

威胁行为者访问了少量 23andMe 帐户，然后抓取了其 DNA 相对匹配的数据，这表明选择使用某个功能可能会产生意想不到的隐私后果。

23andMe 告诉 BleepingComputer，该平台提供双因素身份验证作为额外的帐户保护措施，并鼓励所有用户启用它。

用户应避免重复使用密码，并始终为他们拥有的每个在线帐户使用强大、独特的凭据。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/

原文始发于微信公众号（邑安全）：基因分析公司 23andMe 称用户数据在撞库攻击中被盗