Aktualności z Cyberbezpieczeństwa

Wyciek dużej ilości terabajtów danych użytkowników oraz ich fenotypów

Wyciek danych z serwisu 23andMe dotyczy setek terabajtów informacji o użytkownikach, w tym ich fenotypów, zdjęć i danych identyfikacyjnych. Użytkownicy stali się ofiarami z powodu używania tych samych haseł jak w innych miejscach. Wśród poszkodowanych znaleźli się także ci, którzy nie byli bezpośrednio włamani do swoich kont, z powodu usługi "DNA Relatives", która umożliwia powiązanie genetyczne.

Po raz pierwszy dane wystawiono na sprzedaż dwa miesiące temu, a serwis jest krytykowany za niedostateczną reakcję na sytuację. W dniu 6 października 2023 roku potwierdzono, że prywatne dane użytkowników zostały wystawione na sprzedaż. Jedna z wyciekłych baz danych dotyczyła 1 miliona użytkowników aszkenazyjskich, a druga - 300 000 użytkowników chińskiego pochodzenia, wszyscy zgodzili się na uczestnictwo w programie.

23andMe umożliwia innym użytkownikom przeglądanie podstawowych informacji profilowych, jeśli wyrażą na to zgodę. Funkcja DNA Relative daje dostęp do informacji o pochodzeniu i umożliwia kontakt między użytkownikami na podstawie zgodności DNA.

Choć przechowywanie danych genetycznych online może wspierać poszukiwanie krewnych, wiąże się z zagrożeniami dla prywatności. Nawet przy silnych hasłach i uwierzytelnianiu dwuskładnikowym dane mogą zostać przechwycone, co podkreśla potrzebę ostrożności w przechowywaniu informacji w Internecie.

Funkcja korzysta z technologii sztucznej inteligencji (AI).


     Z serwisu 23andMe przetwarzającego DNA wyciekły setki terabajtów danych użytkowników, w tym ich fenotypy, zdjęcia, dane identyfikacyjne oraz informacje o zdrowiu. Serwis utrzymuje, że powodem było użycie przez ofiary tego samego hasła co do innych miejsc. Co ciekawe, poszkodowani są także ci, na których konta się nie włamano, a winna jest usługa "DNA Relatives". Dzięki niej dane "nie-ofiar" były możliwe do pobrania z kont, które przejęto, bo nie-ofiara i ofiara były genetycznie "spokrewnione". Po raz pierwszy dane wystawiono na sprzedaż 2 miesiące temu. Serwis 23andMe jest krytykowany za wolną reakcję.
 
23andMe Holding Co. jest spółką publiczną zajmującą się genomiką osobistą i biotechnologią z siedzibą w południowym San Francisco w Kalifornii. Najbardziej znana jest ze świadczenia usług testów genetycznych skierowanych bezpośrednio do konsumenta, w ramach których klienci dostarczają próbkę śliny poddawaną analizie laboratoryjnej w celu generowania raportów dotyczących pochodzenia klienta i predyspozycje genetyczne do tematów związanych ze zdrowiem. 
 
W piątek  6 października urzędnicy 23andMe potwierdzili, że prywatne dane niektórych użytkowników są w rzeczywistości wystawione na sprzedaż. 
 
W piątek dzienniki „The Record" i „Bleeping Computer" poinformowały, że jedna z baz danych, która wyciekła, zawierała informacje dotyczące 1 miliona użytkowników pochodzenia aszkenazyjskiego, z których wszyscy wyrazili zgodę na usługę dotyczącą DNA. Według „Rekordu" druga baza danych zawierała 300 000 użytkowników chińskiego pochodzenia, którzy również wyrazili zgodę.
 
„The Record" poinformowało również, że witryna 23andMe umożliwia osobom znającym identyfikator profilu użytkownika przeglądanie jego zdjęcia profilowego, imienia i nazwiska, roku urodzenia i lokalizacji. Przedstawiciel 23andMe powiedział, że „każdy posiadacz konta 23andMe, który zdecydował się na korzystanie z programu DNA Relative, może przeglądać podstawowe informacje profilowe dowolnego innego konta, które również wyraźnie zgodziło się na udostępnianie swojego profilu innym uczestnikom DNA Relative".
 
Funkcja DNA Relative umożliwia użytkownikom, którzy wyrazili na to zgodę, przeglądanie podstawowych informacji o profilach innych osób, które umożliwiają także widoczność swoich profili uczestnikom DNA Relative, powiedział rzecznik. Jeśli DNA jednego użytkownika, który wyraził zgodę, pasuje do innego, każdy z nich uzyskuje dostęp do informacji o pochodzeniu drugiego.
 
Chociaż przechowywanie informacji genetycznych w Internecie, aby ludzie mogli prześledzić swoje dziedzictwo i odszukać krewnych, ma zalety, istnieją wyraźne zagrożenia dla prywatności. Nawet jeśli użytkownik wybierze silne hasło i zastosuje uwierzytelnianie dwuskładnikowe, jak od dawna nalegało 23andMe, jego dane nadal mogą zostać przechwycone w wyniku incydentów. Jedynym pewnym sposobem zabezpieczenia go przed kradzieżą w Internecie jest przede wszystkim nie przechowywanie go tam.