1 pontos por GN⁺ 2023-10-08 | 1 comentários | Compartilhar no WhatsApp
  • Dados de usuários do serviço de testes genéticos 23andMe foram distribuídos em um fórum de hackers, e a empresa acredita que a causa foi um ataque de credential stuffing voltado à reutilização de senhas
  • Os invasores acessaram contas da 23andMe.com com credenciais expostas em violações de outras plataformas online, e a empresa afirma que até o momento não há sinais de comprometimento de seus sistemas internos
  • Os itens expostos incluem informações altamente identificáveis, como nome real, nome de usuário, foto de perfil, gênero, data de nascimento, resultados de ancestralidade genética e localização geográfica
  • A amostra inicial continha 1 milhão de linhas de dados de pessoas Ashkenazi, e depois, em 4 de outubro, veio uma oferta de venda em massa por US$ 1 a US$ 10 por conta
  • Dados de correspondência de contas com o recurso DNA Relatives ativado foram raspados, mostrando como recursos sociais opcionais podem se tornar um caminho inesperado de exposição de dados pessoais

Dados da 23andMe identificados em fórum de hackers

  • A 23andMe está ciente de que dados de usuários de sua plataforma estão circulando em um fórum de hackers e acredita que o vazamento ocorreu em consequência de um ataque de credential stuffing
  • A empresa é uma companhia americana de biotecnologia e genômica que fornece relatórios de ancestralidade e predisposição genética quando clientes enviam amostras de saliva para laboratório
  • Um agente de ameaça publicou uma amostra de dados que alegava ter roubado da empresa de genética e, poucos dias depois, ofereceu pacotes de dados de clientes da 23andMe à venda

Credential stuffing e posição da empresa

  • Um porta-voz da 23andMe confirmou que os dados publicados no fórum são dados reais da 23andMe
  • A empresa acredita que os invasores usaram credenciais expostas em outros incidentes para acessar contas da 23andMe e roubar dados sensíveis
  • A empresa afirmou que, no momento, não há sinais de que tenha ocorrido um incidente de segurança de dados dentro de seus próprios sistemas
  • Os resultados iniciais da investigação indicam que informações de login reutilizadas por usuários em várias plataformas online podem ter vazado em outros incidentes e sido coletadas pelos invasores

Escopo dos dados vazados e vendidos

  • Os dados divulgados inicialmente eram limitados, mas o agente de ameaça publicou 1 milhão de linhas de dados de pessoas Ashkenazi
  • Em 4 de outubro, ele também ofereceu vender perfis de dados em massa por US$ 1 a US$ 10 por conta da 23andMe, dependendo do volume comprado
  • As informações expostas incluem os seguintes itens
    • Nome completo
    • Nome de usuário
    • Foto de perfil
    • Gênero
    • Data de nascimento
    • Resultados de ancestralidade genética
    • Localização geográfica

Disseminação por meio do recurso DNA Relatives

  • O número de contas vendidas não corresponde exatamente ao número de contas da 23andMe comprometidas com credenciais expostas
  • As contas comprometidas estavam com o recurso DNA Relatives da 23andMe ativado
  • O DNA Relatives é um recurso que permite aos usuários encontrar e se conectar com parentes genéticos
  • Após obter acesso a um pequeno número de contas da 23andMe, os invasores rasparam os dados de correspondência do DNA Relatives dessas contas
  • Este caso mostra que a participação em certos recursos pode levar a uma exposição de dados pessoais inesperada

Medidas de proteção que os usuários podem adotar

  • A 23andMe oferece verificação em duas etapas para proteger contas e recomenda que todos os usuários a ativem
  • Mais informações estão em Adding 2-Step Verification to Your 23andMe Account
  • Os usuários devem evitar reutilizar senhas e usar credenciais fortes e diferentes para cada conta online

1 comentários

 
GN⁺ 2023-10-08
Opiniões no Hacker News
  • Se não li errado, parece que alguém já tinha um banco de dados vazado de e-mails/senhas, testou no 23andMe e, quando conseguia fazer login, pegava os dados acessíveis
    É verdade que a 23andMe tem dados muito amplos e pessoais, mas esse tipo de ataque é literalmente possível contra qualquer site
    O ponto central é que as pessoas reutilizaram senhas e também não ativaram a autenticação de dois fatores
    Então o banco de dados à venda é apenas uma lista de e-mails/senhas de outros vazamentos que também funcionaram na 23andMe, junto com os dados da 23andMe que havia nessas contas
    Em termos estritos, é difícil considerar isso uma invasão da própria 23andMe

    • Mesmo que seja esse o caso, a 23andMe deveria ter se protegido melhor
      Não entendo por que permitiram login em contas a partir de um IP novo sem verificação adicional
      Eles têm o e-mail, então poderiam ao menos ter feito autenticação de dois fatores por e-mail e, como outros disseram, um CAPTCHA também poderia ter tornado o ataque mais lento e caro
      Onde trabalho usamos os dois, então não é verdade que esse ataque seja “literalmente possível contra qualquer site”
      É vergonhoso uma empresa madura, ainda por cima de capital aberto, ter permitido credential stuffing em escala de milhões de contas
    • Acho que não deve ser lido dessa forma
      O mais importante a que as pessoas tiveram acesso foi o perfil completo de DNA bruto, e muitos dos afetados foram expostos por causa de pessoas que aceitaram o recurso “Relatives”, mesmo que suas próprias contas estivessem seguras
    • Dá para fazer uma pergunta:
      Autenticação de dois fatores desativada” deveria poder coexistir com “dados muito amplos e pessoais”?
    • É verdade que este não foi um ataque sofisticado
      O decepcionante é que esse ataque funcionou bem em grande escala
      Em alguns sites é possível executar esse tipo de ataque em escala, mas, se você escolher métricas adequadas para monitorar e configurar alertas, é um tipo de coisa que aparece de forma bem ruidosa para quem está do lado receptor
      Eles disseram que “no momento, não há indicação de que tenha ocorrido um incidente de segurança de dados dentro de nossos sistemas”, mas, se esse sistema foi usado para extrair dados de clientes e eles só perceberam depois que os dados dos clientes estavam sendo vendidos, é por aí que precisam começar a melhorar
      Pelo atraso na divulgação, parece possível que só tenham descoberto após receberem perguntas da imprensa
    • Sites deveriam mitigar credential stuffing comparando senhas com senhas crackeadas conhecidas
      Basta baixar o banco de dados de senhas com hash do Troy Hunt, verificar no login e, se a senha tiver vazado, mandar o usuário para o fluxo de redefinição de senha por e-mail
      Ou usar a API
      É muito simples e, pelo que vejo, já era uma prática recomendada aceita desde por volta de 2017
      Isso é 100% responsabilidade da 23andMe
      https://haveibeenpwned.com/Passwords
  • Fico imaginando se as empresas vão começar a reavaliar seriamente “permissões transitivas” ou “permissões de rede”
    É muito parecido com o grande problema que o Facebook teve no passado
    Eu tinha permissão para ver todos os dados dos meus amigos e, antigamente, com um botão eu podia permitir que alguém que pedisse visse não só minhas informações, mas também as informações dos meus amigos
    Do ponto de vista da ciência da computação, faz sentido: se eu deixo alguém ver todos os meus dados, não consigo mais controlar com quem essa pessoa vai compartilhá-los depois
    Mas, do ponto de vista humano, a maioria das pessoas não acha que dar acesso a você seja, na prática, dar acesso ao mundo inteiro
    Essas permissões de rede tornam a empresa que possui esses dados um alvo importante
    Porque o invasor pode hackear apenas algumas contas e obter uma quantidade exponencialmente maior de dados

    • Não é que você veja todas as informações do amigo, e sim apenas o subconjunto que esse amigo compartilhou, certo?
      Ou seja, o escopo que o autor configurou para ficar visível aos amigos dos amigos
  • Segundo este tuíte, é possível que os hackers tenham obtido todos os dados, mas vazado apenas uma parte, ou seja, 1,3 milhão de registros
    A alegação é que essa parte era de dados de judeus asquenazes
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Se for isso, explica por que conseguiram tantos dados a partir de um número pequeno de contas comprometidas
      Os judeus asquenazes foram relativamente isolados geneticamente em comparação com o restante da Europa e partiram de um grupo fundador relativamente pequeno
      Por isso, pelos indicadores padrão, aparecem geneticamente como parentes distantes entre si
      Ou seja, um cliente asquenaze típico da 23andMe provavelmente veria muito mais parentes do que outros clientes e, portanto, poderia ver muito mais perfis
    • Sou usuário da 23andMe e tenho uma proporção alta de ascendência asquenaze, então esperava que meus dados também tivessem vazado, mas não estavam lá
      Portanto é bem provável que não sejam todos os dados asquenazes
    • Nesse tuíte não há nenhuma evidência de que isso tenha sido mais do que uso de senhas reutilizadas
      Também não há evidência de que fossem todos os dados
    • Mesmo que eu viva cem anos, acho que nunca vou entender por que as pessoas têm obsessão por judeus
    • Mais terrorismo neonazista, que maravilha são os anos 2020 /s
  • Acho a ideia interessante, mas é exatamente por esse motivo que sempre recusei esse tipo de teste genético

    • Além disso, você precisa impedir que todos os seus parentes façam o teste
    • Lembro de uma piada em Simpsons em que Homer descobre que o governo tem o DNA de todo mundo em arquivo e pergunta como, e a resposta era algo como “todo mundo que tocou em uma moeda de um centavo desde 1932”
      No fim, nem precisava ser tão complicado; bastava fazer as pessoas enviarem diretamente pelo correio ;)
    • Eu também, e gostaria que houvesse regulamentação para proteger esses dados
      Mas parece que agora já é água derramada
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • Não bastaria usar um nome falso?
    • Eu também
      Acho que não vou usar esse tipo de serviço no futuro
  • Já falei isso várias vezes, mas esse tipo de coisa vai continuar acontecendo até haver responsabilidade criminal por negligência na retenção e proteção de dados
    As empresas não se importam e, não importa o que digam no PR, não vão se importar até que elas próprias fiquem diretamente em risco
    A cada violação, repetem “sentimos muito” como a British Petroleum e compram LifeLock para as pessoas
    É uma completa bobagem

    • Não entendo por que a 23andMe deveria ser criminalmente responsabilizada
      Segundo o artigo, não foi a empresa que sofreu uma invasão; apenas contas individuais que usavam credenciais reutilizadas, expostas em outras violações, foram comprometidas
      Deveria haver autenticação em duas etapas, mas não acho que a ausência de autenticação em duas etapas deva ser criminalizada
  • Entrei no site que aparecia na captura de tela e alguém estava vendendo materiais vazados da OTAN de uma visita às Filipinas, dizendo “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT etc.”
    Havia também outra lista de bancos de dados de cidadãos ucranianos de 2023
    CIA, por favor, não me matem! Juro que só vi por acaso
    Enfim, preciso voltar ao trabalho

    • Que site é esse?
  • 75 mil dólares
    É uma forma de mostrar que o governo não leva privacidade a sério sem precisar dizer isso
    Três semanas atrás, a empresa de testes genéticos 1Health.io concordou em pagar uma multa de 75 mil dólares à FTC para encerrar alegações de que não protegeu adequadamente dados genéticos e de saúde sensíveis, alterou retroativamente sua política de privacidade sem notificar ou obter consentimento dos clientes cujos dados havia obtido, e enganou clientes dizendo que eles poderiam excluir seus dados

    • Só aquela frase narcisista “welcome to you” na embalagem já me dá vontade de vomitar, e por isso tudo são só 75 mil dólares
      Espero que a empresa desabe completamente
    • As consequências monstruosas que as pessoas costumam levantar quando esse tipo de dado vaza não estão realmente aparecendo
      Não há pesquisa genética proibida em andamento, os prêmios de seguro não estão subindo, e não está havendo limpeza étnica por causa dessas informações
      Deve haver alguns casos de roubo de identidade e fraude bancária, mas em geral os sistemas existentes conseguem lidar com isso
      São pegos na outra ponta
      Se querem multas grandes, precisam demonstrar grandes danos
    • Como sempre, o capitalismo funciona ao contrário
      Se realmente levassem privacidade a sério, deveriam dar 75 mil dólares de apoio para corrigir o problema
      Se tirarem 75 mil dólares do orçamento de engenharia, a empresa vai conseguir fazer menos, e mais dados vão vazar
  • Falando das implicações de privacidade de enviar seu DNA para sequenciamento “por diversão”, a 23andMe já coopera com órgãos de aplicação da lei
    A ciência de dados também já está boa o suficiente para que, mesmo que eu nunca tenha enviado uma amostra de DNA, se um primo de terceiro grau meu tiver enviado uma amostra, minha identidade possa ser inferida
    Uma pessoa média tem cerca de 200 primos de terceiro grau

    • Você pode explicar melhor como isso funciona?
      Digamos que um dos meus 200 primos de terceiro grau tenha feito o teste com cotonete da 23andMe e, depois, eu talvez tenha cometido um crime do outro lado do país
      A polícia coletou evidências de DNA
      O que acontece agora?
    • Os órgãos de aplicação da lei conseguem consultar o banco de dados da 23andMe usando o DNA coletado?
  • Pelo que sei, existem serviços de genealogia que criam gráficos Leeds-Collins e funcionam pedindo ao usuário suas credenciais da 23andMe
    É parecido com alguns serviços bancários de terceiros que pedem diretamente as credenciais bancárias do usuário
    Há práticas de segurança realmente ruins nessa área

    • Por um tempo existiu uma API OAuth2 da 23andMe, e ela oferecia SNPs como escopo OAuth, então isso é ainda mais triste
  • Fico pensando se a 23andMe pode me enviar a senha da conta do meu pai, que perdi há alguns anos e da qual agora nem tenho mais o endereço de e-mail