23andMe diz que dados de usuários foram roubados em ataque de credential stuffing

 (bleepingcomputer.com)
1 pontos por GN⁺ 2023-10-08 | 1 comentários | Compartilhar no WhatsApp
  • A empresa americana de biotecnologia e genômica 23andMe confirmou uma violação de dados relacionada aos dados de usuários da plataforma.
  • A empresa afirma que a violação de dados foi causada por um ataque de credential stuffing.
  • O vazamento inicial de dados foi limitado, e o agente da ameaça divulgou 1 milhão de linhas de dados sobre pessoas de ascendência asquenaze.
  • Mais tarde, o agente da ameaça ofereceu vender em massa perfis de dados por US$ 1 a US$ 10 por conta da 23andMe.
  • Os dados expostos incluem nome completo, nome de usuário, foto de perfil, gênero, data de nascimento, resultados de ancestralidade genética e localização geográfica.
  • As contas comprometidas participavam do recurso 'Parentes de DNA' da plataforma, que permite aos usuários encontrar parentes genéticos e se conectar com eles.
  • Após obter acesso a um pequeno número de contas da 23andMe, o agente da ameaça raspou os dados de correspondência de parentes de DNA dessas contas.
  • A 23andMe informou que as credenciais de login usadas nessas tentativas de acesso podem ter sido coletadas pelo agente da ameaça a partir de vazamentos de dados em incidentes ocorridos em outras plataformas online nas quais os usuários reutilizaram suas credenciais.
  • A empresa oferece autenticação de dois fatores como medida adicional de proteção de conta e recomenda que todos os usuários a ativem.
  • Os usuários foram aconselhados a evitar reutilizar senhas e a usar credenciais fortes e exclusivas de forma consistente em todas as contas online.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-08
Comentários do Hacker News
  • O roubo de dados de usuários da 23andMe ocorreu por causa de um ataque de credential stuffing que usou bancos de dados de e-mail/senha vazados anteriormente para acessar o site.
  • O problema aconteceu porque as pessoas reutilizam senhas e não ativam a autenticação em dois fatores.
  • Os dados colocados à venda incluem e-mails/senhas de outras invasões que funcionavam na 23andMe e os dados que a 23andMe tinha sobre esses usuários.
  • O caso levantou preocupações sobre "privilégios transitivos" ou "privilégios de rede". Isso significa que conceder acesso a uma pessoa pode também conceder acesso a outras.
  • Alguns usuários estão evitando testes genéticos por causa dessas preocupações com segurança.
  • Há especulação de que os hackers tiveram acesso a todos os dados, mas vazaram especificamente apenas 1,3 milhão de registros de judeus ashkenazi.
  • Alguns usuários acreditam que essas violações continuarão acontecendo até que exista responsabilidade criminal por negligência no armazenamento/proteção de dados.
  • A cooperação da 23andMe com as autoridades e a capacidade de identificar indivíduos com base em amostras de DNA de primos de terceiro grau levantam preocupações com a privacidade.
  • O fato de a empresa de testes genéticos 1Health.io ter pago uma multa de US$ 75.000 à FTC por não proteger dados sensíveis é visto como prova de que o governo não leva a privacidade a sério.
  • Foi relatado que alguns serviços de genealogia pedem aos usuários suas credenciais da 23andMe, indicando que a segurança nesse setor é fraca.
  • O caso gerou críticas à ideia de as pessoas confiarem suas informações genéticas a empresas privadas.