23andMe confirma roubo de dados de usuários em ataque de credential stuffing
(bleepingcomputer.com)- Dados de usuários do serviço de testes genéticos 23andMe foram distribuídos em um fórum de hackers, e a empresa acredita que a causa foi um ataque de credential stuffing voltado à reutilização de senhas
- Os invasores acessaram contas da 23andMe.com com credenciais expostas em violações de outras plataformas online, e a empresa afirma que até o momento não há sinais de comprometimento de seus sistemas internos
- Os itens expostos incluem informações altamente identificáveis, como nome real, nome de usuário, foto de perfil, gênero, data de nascimento, resultados de ancestralidade genética e localização geográfica
- A amostra inicial continha 1 milhão de linhas de dados de pessoas Ashkenazi, e depois, em 4 de outubro, veio uma oferta de venda em massa por US$ 1 a US$ 10 por conta
- Dados de correspondência de contas com o recurso DNA Relatives ativado foram raspados, mostrando como recursos sociais opcionais podem se tornar um caminho inesperado de exposição de dados pessoais
Dados da 23andMe identificados em fórum de hackers
- A 23andMe está ciente de que dados de usuários de sua plataforma estão circulando em um fórum de hackers e acredita que o vazamento ocorreu em consequência de um ataque de credential stuffing
- A empresa é uma companhia americana de biotecnologia e genômica que fornece relatórios de ancestralidade e predisposição genética quando clientes enviam amostras de saliva para laboratório
- Um agente de ameaça publicou uma amostra de dados que alegava ter roubado da empresa de genética e, poucos dias depois, ofereceu pacotes de dados de clientes da 23andMe à venda
Credential stuffing e posição da empresa
- Um porta-voz da 23andMe confirmou que os dados publicados no fórum são dados reais da 23andMe
- A empresa acredita que os invasores usaram credenciais expostas em outros incidentes para acessar contas da 23andMe e roubar dados sensíveis
- A empresa afirmou que, no momento, não há sinais de que tenha ocorrido um incidente de segurança de dados dentro de seus próprios sistemas
- Os resultados iniciais da investigação indicam que informações de login reutilizadas por usuários em várias plataformas online podem ter vazado em outros incidentes e sido coletadas pelos invasores
Escopo dos dados vazados e vendidos
- Os dados divulgados inicialmente eram limitados, mas o agente de ameaça publicou 1 milhão de linhas de dados de pessoas Ashkenazi
- Em 4 de outubro, ele também ofereceu vender perfis de dados em massa por US$ 1 a US$ 10 por conta da 23andMe, dependendo do volume comprado
- As informações expostas incluem os seguintes itens
- Nome completo
- Nome de usuário
- Foto de perfil
- Gênero
- Data de nascimento
- Resultados de ancestralidade genética
- Localização geográfica
Disseminação por meio do recurso DNA Relatives
- O número de contas vendidas não corresponde exatamente ao número de contas da 23andMe comprometidas com credenciais expostas
- As contas comprometidas estavam com o recurso DNA Relatives da 23andMe ativado
- O DNA Relatives é um recurso que permite aos usuários encontrar e se conectar com parentes genéticos
- Após obter acesso a um pequeno número de contas da 23andMe, os invasores rasparam os dados de correspondência do DNA Relatives dessas contas
- Este caso mostra que a participação em certos recursos pode levar a uma exposição de dados pessoais inesperada
Medidas de proteção que os usuários podem adotar
- A 23andMe oferece verificação em duas etapas para proteger contas e recomenda que todos os usuários a ativem
- Mais informações estão em Adding 2-Step Verification to Your 23andMe Account
- Os usuários devem evitar reutilizar senhas e usar credenciais fortes e diferentes para cada conta online
1 comentários
Opiniões no Hacker News
Se não li errado, parece que alguém já tinha um banco de dados vazado de e-mails/senhas, testou no 23andMe e, quando conseguia fazer login, pegava os dados acessíveis
É verdade que a 23andMe tem dados muito amplos e pessoais, mas esse tipo de ataque é literalmente possível contra qualquer site
O ponto central é que as pessoas reutilizaram senhas e também não ativaram a autenticação de dois fatores
Então o banco de dados à venda é apenas uma lista de e-mails/senhas de outros vazamentos que também funcionaram na 23andMe, junto com os dados da 23andMe que havia nessas contas
Em termos estritos, é difícil considerar isso uma invasão da própria 23andMe
Não entendo por que permitiram login em contas a partir de um IP novo sem verificação adicional
Eles têm o e-mail, então poderiam ao menos ter feito autenticação de dois fatores por e-mail e, como outros disseram, um CAPTCHA também poderia ter tornado o ataque mais lento e caro
Onde trabalho usamos os dois, então não é verdade que esse ataque seja “literalmente possível contra qualquer site”
É vergonhoso uma empresa madura, ainda por cima de capital aberto, ter permitido credential stuffing em escala de milhões de contas
O mais importante a que as pessoas tiveram acesso foi o perfil completo de DNA bruto, e muitos dos afetados foram expostos por causa de pessoas que aceitaram o recurso “Relatives”, mesmo que suas próprias contas estivessem seguras
“Autenticação de dois fatores desativada” deveria poder coexistir com “dados muito amplos e pessoais”?
O decepcionante é que esse ataque funcionou bem em grande escala
Em alguns sites é possível executar esse tipo de ataque em escala, mas, se você escolher métricas adequadas para monitorar e configurar alertas, é um tipo de coisa que aparece de forma bem ruidosa para quem está do lado receptor
Eles disseram que “no momento, não há indicação de que tenha ocorrido um incidente de segurança de dados dentro de nossos sistemas”, mas, se esse sistema foi usado para extrair dados de clientes e eles só perceberam depois que os dados dos clientes estavam sendo vendidos, é por aí que precisam começar a melhorar
Pelo atraso na divulgação, parece possível que só tenham descoberto após receberem perguntas da imprensa
Basta baixar o banco de dados de senhas com hash do Troy Hunt, verificar no login e, se a senha tiver vazado, mandar o usuário para o fluxo de redefinição de senha por e-mail
Ou usar a API
É muito simples e, pelo que vejo, já era uma prática recomendada aceita desde por volta de 2017
Isso é 100% responsabilidade da 23andMe
https://haveibeenpwned.com/Passwords
Fico imaginando se as empresas vão começar a reavaliar seriamente “permissões transitivas” ou “permissões de rede”
É muito parecido com o grande problema que o Facebook teve no passado
Eu tinha permissão para ver todos os dados dos meus amigos e, antigamente, com um botão eu podia permitir que alguém que pedisse visse não só minhas informações, mas também as informações dos meus amigos
Do ponto de vista da ciência da computação, faz sentido: se eu deixo alguém ver todos os meus dados, não consigo mais controlar com quem essa pessoa vai compartilhá-los depois
Mas, do ponto de vista humano, a maioria das pessoas não acha que dar acesso a você seja, na prática, dar acesso ao mundo inteiro
Essas permissões de rede tornam a empresa que possui esses dados um alvo importante
Porque o invasor pode hackear apenas algumas contas e obter uma quantidade exponencialmente maior de dados
Ou seja, o escopo que o autor configurou para ficar visível aos amigos dos amigos
Segundo este tuíte, é possível que os hackers tenham obtido todos os dados, mas vazado apenas uma parte, ou seja, 1,3 milhão de registros
A alegação é que essa parte era de dados de judeus asquenazes
https://x.com/mattjay/status/1710370423311888724?s=20
Os judeus asquenazes foram relativamente isolados geneticamente em comparação com o restante da Europa e partiram de um grupo fundador relativamente pequeno
Por isso, pelos indicadores padrão, aparecem geneticamente como parentes distantes entre si
Ou seja, um cliente asquenaze típico da 23andMe provavelmente veria muito mais parentes do que outros clientes e, portanto, poderia ver muito mais perfis
Portanto é bem provável que não sejam todos os dados asquenazes
Também não há evidência de que fossem todos os dados
Acho a ideia interessante, mas é exatamente por esse motivo que sempre recusei esse tipo de teste genético
No fim, nem precisava ser tão complicado; bastava fazer as pessoas enviarem diretamente pelo correio ;)
Mas parece que agora já é água derramada
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Acho que não vou usar esse tipo de serviço no futuro
Já falei isso várias vezes, mas esse tipo de coisa vai continuar acontecendo até haver responsabilidade criminal por negligência na retenção e proteção de dados
As empresas não se importam e, não importa o que digam no PR, não vão se importar até que elas próprias fiquem diretamente em risco
A cada violação, repetem “sentimos muito” como a British Petroleum e compram LifeLock para as pessoas
É uma completa bobagem
Segundo o artigo, não foi a empresa que sofreu uma invasão; apenas contas individuais que usavam credenciais reutilizadas, expostas em outras violações, foram comprometidas
Deveria haver autenticação em duas etapas, mas não acho que a ausência de autenticação em duas etapas deva ser criminalizada
Entrei no site que aparecia na captura de tela e alguém estava vendendo materiais vazados da OTAN de uma visita às Filipinas, dizendo “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT etc.”
Havia também outra lista de bancos de dados de cidadãos ucranianos de 2023
CIA, por favor, não me matem! Juro que só vi por acaso
Enfim, preciso voltar ao trabalho
75 mil dólares
É uma forma de mostrar que o governo não leva privacidade a sério sem precisar dizer isso
Três semanas atrás, a empresa de testes genéticos 1Health.io concordou em pagar uma multa de 75 mil dólares à FTC para encerrar alegações de que não protegeu adequadamente dados genéticos e de saúde sensíveis, alterou retroativamente sua política de privacidade sem notificar ou obter consentimento dos clientes cujos dados havia obtido, e enganou clientes dizendo que eles poderiam excluir seus dados
Espero que a empresa desabe completamente
Não há pesquisa genética proibida em andamento, os prêmios de seguro não estão subindo, e não está havendo limpeza étnica por causa dessas informações
Deve haver alguns casos de roubo de identidade e fraude bancária, mas em geral os sistemas existentes conseguem lidar com isso
São pegos na outra ponta
Se querem multas grandes, precisam demonstrar grandes danos
Se realmente levassem privacidade a sério, deveriam dar 75 mil dólares de apoio para corrigir o problema
Se tirarem 75 mil dólares do orçamento de engenharia, a empresa vai conseguir fazer menos, e mais dados vão vazar
Falando das implicações de privacidade de enviar seu DNA para sequenciamento “por diversão”, a 23andMe já coopera com órgãos de aplicação da lei
A ciência de dados também já está boa o suficiente para que, mesmo que eu nunca tenha enviado uma amostra de DNA, se um primo de terceiro grau meu tiver enviado uma amostra, minha identidade possa ser inferida
Uma pessoa média tem cerca de 200 primos de terceiro grau
Digamos que um dos meus 200 primos de terceiro grau tenha feito o teste com cotonete da 23andMe e, depois, eu talvez tenha cometido um crime do outro lado do país
A polícia coletou evidências de DNA
O que acontece agora?
Pelo que sei, existem serviços de genealogia que criam gráficos Leeds-Collins e funcionam pedindo ao usuário suas credenciais da 23andMe
É parecido com alguns serviços bancários de terceiros que pedem diretamente as credenciais bancárias do usuário
Há práticas de segurança realmente ruins nessa área
Fico pensando se a 23andMe pode me enviar a senha da conta do meu pai, que perdi há alguns anos e da qual agora nem tenho mais o endereço de e-mail
Se estiver lá, talvez também tenham a senha