23andMe 已向 BleepingComputer 证实,它知道其平台上的用户数据在黑客论坛上流传,并将此次泄露归因于撞库攻击。
23andMe 是一家美国生物技术和基因组学公司,为客户提供基因检测服务,客户只需将唾液样本发送到其实验室即可获得血统和遗传倾向报告。
最近,一名威胁行为者泄露了据称从一家遗传学公司窃取的数据样本,并在几天后提出出售属于 23andMe 客户的数据包。
最初的数据泄露是有限的,威胁行为者释放了德系犹太人的 100 万行数据。然而,10 月 4 日,威胁行为者提出以每个 23andMe 帐户 1 至 10 美元的价格批量出售数据配置文件,具体价格取决于购买的数量。
23andMe 发言人证实这些数据是合法的,并告诉 BleepingComputer,威胁行为者使用其他违规行为中暴露的凭据来访问 23andMe 帐户并窃取敏感数据。
23andMe 发言人表示:“我们获悉,某些 23andMe 客户资料信息是通过访问个人 23andMe.com 帐户来编制的”
“目前我们没有任何迹象表明我们的系统内发生了数据安全事件。”
“相反,这项调查的初步结果表明,这些访问尝试中使用的登录凭据可能是威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的,在这些平台上,用户回收了登录凭据。”
此次事件暴露的信息包括全名、用户名、头像、性别、出生日期、遗传血统结果和地理位置。
BleepingComputer 还了解到,网络犯罪分子出售的帐户数量并不反映使用暴露的凭据遭到破坏的 23andMe 帐户数量。
被入侵的账户选择了该平台的“DNA亲属”功能,该功能允许用户找到遗传亲属并与他们联系。
威胁行为者访问了少量 23andMe 帐户,然后抓取了其 DNA 相对匹配的数据,这表明选择使用某个功能可能会产生意想不到的隐私后果。
23andMe 告诉 BleepingComputer,该平台提供双因素身份验证作为额外的帐户保护措施,并鼓励所有用户启用它。
用户应避免重复使用密码,并始终为他们拥有的每个在线帐户使用强大、独特的凭据。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/
原文始发于微信公众号(邑安全):基因分析公司 23andMe 称用户数据在撞库攻击中被盗
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2095843.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论