Hakerzy kradną dane osobowe 6,9 miliona klientów 23andMe, w tym informacje DNA.
Po początkowym twierdzeniu, że w piątek hakerzy uzyskali dostęp do danych osobowych należących do 14 000 jej klientów, firma 23andMe zajmująca się testami genetycznymi przyznaje teraz, że liczba dotkniętych użytkowników jest w rzeczywistości znacznie wyższa i wynosi 6,9 miliona. Stanowi to prawie połowę ich bazy klientów, która wynosi łącznie 14 milionów.

Według oświadczenia firmy naruszenie dotknęło 5,5 miliona użytkowników 23andMe, którzy włączyli funkcję DNA Relatives, która pozwala na dopasowywanie członków do osób o podobnej budowie genetycznej. W międzyczasie uzyskano dostęp do drzew genealogicznych kolejnych 1,4 miliona osób.

Cyberatak został przeprowadzony przy użyciu metody zwanej upychaniem danych uwierzytelniających. Wiąże się to z logowaniem się do witryny internetowej przy użyciu informacji o koncie uzyskanych w wyniku wcześniejszych naruszeń bezpieczeństwa. Na przykład w przypadku naruszenia bezpieczeństwa witryny internetowej i kradzieży haseł użytkowników cyberprzestępcy mogą użyć brutalnej siły, aby spróbować zalogować się do innych witryn internetowych przy użyciu tej samej kombinacji nazw użytkowników lub adresów e-mail i haseł. Dlatego też zaleca się użytkownikom Internetu, aby nie używali tego samego hasła w wielu usługach.

W tym przypadku zastosowano upychanie danych uwierzytelniających, aby uzyskać dostęp do 14 000 użytkowników, których początkowo zgłoszono w ramach naruszenia. Po uzyskaniu dostępu do tych kont cyberprzestępcy wykorzystali funkcję DNA Relatives, aby uzyskać dostęp do informacji od milionów dodatkowych użytkowników, którzy mieli wspólne pochodzenie z tymi, którzy zostali pierwotnie zagrożeni.

Firma stwierdziła w oświadczeniu: „Nie mamy żadnych przesłanek wskazujących, że w naszych systemach doszło do naruszenia lub incydentu związanego z bezpieczeństwem danych ani że 23andMe było źródłem danych uwierzytelniających do kont wykorzystanych w tych atakach”.