1 pontos por GN⁺ 2023-10-19 | 1 comentários | Compartilhar no WhatsApp
  • Duas semanas após o primeiro vazamento de dados de usuários da 23andMe vir a público, o mesmo hacker publicou no BreachForums um novo conjunto de dados com 4 milhões de registros
  • Um hacker chamado Golem afirmou que o novo conjunto inclui usuários da Grã-Bretanha e também informações das “pessoas mais ricas que vivem nos Estados Unidos e na Europa Ocidental”
  • A TechCrunch confirmou que parte dos novos dados vazados corresponde a informações de usuários e dados genéticos da 23andMe que já haviam sido publicados
  • Após tomar conhecimento do novo vazamento, a 23andMe está analisando a autenticidade dos dados e já havia orientado os usuários a trocar a senha e ativar a autenticação multifator
  • Como ainda não foram confirmados o método real de invasão, a escala total do vazamento e o objetivo do uso dos dados roubados, permanecem riscos adicionais para os usuários da 23andMe

Dados adicionais publicados no BreachForums

  • Um hacker chamado Golem publicou no fórum de cibercrime BreachForums um novo conjunto com 4 milhões de registros de usuários da 23andMe
  • O mesmo hacker já havia vazado, duas semanas antes, outro pacote de dados de usuários roubados da empresa de testes genéticos 23andMe
  • A TechCrunch confirmou que parte dos dados recém-vazados corresponde a informações públicas de usuários e dados genéticos da 23andMe
  • Golem afirma que o conjunto inclui informações de pessoas da Grã-Bretanha
    • Ele também afirma que a lista inclui dados das “pessoas mais ricas que vivem nos Estados Unidos e na Europa Ocidental”
  • O porta-voz da 23andMe, Andy Kill, disse que a empresa tomou conhecimento do novo vazamento e está verificando se os dados são realmente da 23andMe

Explicação da 23andMe sobre o incidente e medidas de segurança de conta

  • Em 6 de outubro, a 23andMe anunciou que hackers obtiveram dados de alguns usuários e explicou que foi usado credential stuffing
    • Credential stuffing é uma técnica que testa combinações de nome de usuário ou e-mail e senha já expostas em outros vazamentos de dados
  • Como resposta ao incidente, a 23andMe exigiu que os usuários alterassem a senha e recomendou ativar a autenticação multifator
  • Segundo a página oficial de resposta ao incidente, a 23andMe iniciou uma investigação com a ajuda de “especialistas forenses terceirizados”
  • A empresa apontou a reutilização de senha por clientes e o recurso opcional DNA Relatives como causas do incidente
    • DNA Relatives é um recurso que permite visualizar dados de outros usuários que aderiram voluntariamente e têm correspondência genética
    • Se esse recurso estiver ativado, um hacker pode invadir uma conta e coletar dados de vários usuários

Questões que ainda não foram esclarecidas

  • Não está claro se o hacker realmente usou credential stuffing ou outro método
  • O volume total de dados de usuários roubados ainda é desconhecido
  • Também não foi confirmado como o hacker pretende usar os dados
  • É possível que o incidente tenha ocorrido, ou pelo menos começado, há alguns meses
    • Em 11 de agosto, um hacker anunciou um conjunto de dados de usuários da 23andMe em outro fórum de cibercrime chamado Hydra
    • Segundo análise da TechCrunch, esse conjunto corresponde a parte dos registros de usuários vazados duas semanas antes
    • O hacker no Hydra afirmou possuir 300 TB de dados de usuários da 23andMe, mas não apresentou provas
  • Até agora, o alcance total do vazamento não está claro, e a própria 23andMe aparentemente ainda não conseguiu determinar quantos dados foram exfiltrados

1 comentários

 
GN⁺ 2023-10-19
Comentários no Hacker News
  • A 23andMe culpar a reutilização de senhas pelos clientes e o DNA Relatives, um recurso opt-in que permite ver dados de outros participantes com correspondência genética, é uma forma de desviar do problema central.
    As opções de compartilhamento do DNA Relatives não têm granularidade suficiente e, basicamente, há só uns dois níveis, o que não basta.
    Além disso, a 23andMe limita a visualização aos 1.500 parentes mais próximos entre as pessoas que participam do DNA Relatives; com essa estrutura, se um hacker assumisse apenas alguns milhares de contas, poderia coletar haplogrupos, estimativas de origem étnica, nomes, perfis, listas de parentes e informações de origem geográfica da maior parte do banco de dados.
    Esse limite de 1.500 pessoas ajuda em teoria, mas, por um período recente, também era possível ver perfis além desse alcance, e não está claro se isso fez parte do método de exploração.

    • A página “DNA Relatives” da 23andMe diz o seguinte: “Se você optar por participar do recurso DNA Relatives, há várias opções de privacidade de acordo com suas preferências pessoais. Para privacidade total, você pode sair completamente do DNA Relatives.”
      Se é preciso sair para ter privacidade total, não entendo como isso pode ser um recurso opt-in.
      Também não fica claro o que significa privacidade total aqui, nem como ela difere da privacidade que se pode esperar razoavelmente.
      Acho que a alegação da empresa de que esse recurso é opt-in não faz sentido.
    • É uma empresa realmente péssima. A responsabilidade de proteger os dados armazenados não é do usuário, é inteiramente da empresa.
      Se um usuário reutilizou uma senha, isso pode ter sido a causa do comprometimento de uma única conta, mas a empresa poderia ter mitigado facilmente para impedir que o dano aumentasse.
    • Não entendo por que mais empresas não implementam limites de requisições razoáveis e detecção de abuso.
      Não deveria ser possível extrair dados de milhões de pessoas apenas com um conjunto de contas hackeadas.
    • O item 2 parece muito parecido com a forma como a Cambridge Analytica vazou dados do Facebook em massa.
      Fico me perguntando se a CEO da 23andMe também vai passar os próximos 10 anos sendo convocada pelo Congresso.
    • No fim das contas, é só uma rede social baseada em DNA.
  • Usar a 23andMe foi um dos maiores arrependimentos da minha vida. Fiz isso quando ainda não me preocupava com privacidade, porque estava em promoção na Amazon.
    Mesmo que eu peça a exclusão, não tenho nenhuma confiança de que eles realmente apagarão meus dados; e, mesmo que apaguem, não sei se esses dados já não entraram em algum modelo ou pesquisa e continuam vivos por aí.
    Parte de mim nem quer saber se meus dados foram incluídos neste vazamento. Isso parece diferente de um vazamento de cartão de crédito ou de dados de compras.
    O pior é que eu não acessava a 23andMe havia muito tempo e, provavelmente, isso foi antes de eu me preocupar de verdade com segurança de senhas, então não seria surpreendente.

    • Talvez isso nem importe muito. Os modelos de correspondência genética são tão primitivos que esses dados provavelmente não têm tanto valor.
      Facebook e Google têm um retrato muito mais preciso que podem usar para manipular pessoas, e a 23andMe não passa de uma curiosidade.
      Meus dados provavelmente também estão neste vazamento, mas não vou gastar nem 1 segundo da minha vida me arrependendo disso.
      É só esperar para ver se dá para receber algo em uma ação coletiva. Se, como no hack da Experian, chegar pelo correio um cheque ridiculamente pequeno, pelo menos vou ter um objeto para deixar na mesa de centro.
    • Eu também tive curiosidade e usei um dos principais serviços, que muito provavelmente já foi hackeado a esta altura.
      Só que me cadastrei com um pseudônimo, dei o kit de teste ao meu pai e também fiz uma tia minha fazer o teste.
      Não foi preciso, mas bastou para matar a curiosidade.
      No fim, tudo será hackeado um dia. Como disse um hacker famoso, devemos presumir que tudo o que dizemos ou escrevemos um dia se tornará informação pública.
      Além disso, talvez alguém diga “como você pôde fazer isso com seu pai?”, mas, se o conhecessem, entenderiam. Ele vive praticamente fora da rede e está perto de morrer, e minha tia já faleceu.
    • Se “esses dados entrarem em algum modelo ou pesquisa e continuarem vivos” quer dizer algo como desenvolvimento de novos medicamentos ou pesquisa médica, não entendo por que isso seria ruim.
    • Pelo que entendo, neste caso, mesmo que você não tenha cometido nenhum erro, basta ser parente de alguém que cometeu para ser praticamente incluído.
    • Você quer dizer que não pediu a exclusão? Se tivesse excluído, é bem provável que o hacker não tivesse seus dados.
  • Sou uma das vítimas do vazamento. Tenho conhecimento técnico, entendo bem de segurança e uso senhas únicas e seguras em todos os lugares
    Essa empresa e essa porcaria de empurrar a culpa para os outros me dão nojo
    Isso é praticamente doxxing corporativo. Vai continuar se repetindo até que executivos individuais de grandes empresas que cospem na cara dos usuários sejam responsabilizados pessoalmente por coisas assim
    Até lá, eles não têm obrigação nenhuma de se importar de verdade. Somos apenas matéria-prima colocada dentro de uma máquina de fazer dinheiro
    Mais do que o vazamento em si, é a ausência de responsabilização que dá mais raiva
    É chocante o clima nos comentários culpando as vítimas

    • A 23andMe parece querer fazer as pessoas acreditarem que dezenas de milhares de contas de clientes foram hackeadas por um ataque de credential stuffing
      Mesmo supondo que cada pessoa tenha 1.500 matches e que não haja parentes em comum, seriam necessárias aproximadamente 10 mil contas hackeadas com sucesso para chegar ao volume de dados vazados, cerca de 14 milhões de pessoas
      Na prática, muitas pessoas têm parentes em comum, então muito mais do que 10 mil contas teriam de ter sido atacadas, e durante todo esse tempo a 23andMe não poderia ter percebido nada suspeito. Isso é muito pouco plausível
      A 23andMe afirma que a causa raiz desse vazamento foi credential stuffing, mas os hackers que postaram primeiro no Hydra Market dois meses atrás afirmaram que simplesmente usaram ou abusaram da API que a 23andMe fornecia a parceiros acadêmicos e de pesquisa
      Os hackers alegaram ter 300 TB, incluindo dados brutos, mas ainda não apresentaram provas de que o alcance do ataque tenha sido desse tamanho. Mas, se essa alegação for verdadeira, essa violação combina bem com a alegação de uso da API, não com credential stuffing
      Portanto, se a escala informada pelo atacante estiver correta, é muito mais provável que tenham raspado todos os dados por uma das APIs da 23andMe do que por credential stuffing. Um dos pesquisadores parceiros pode ter sido hackeado, ou pode ter existido — ou ainda existir — uma vulnerabilidade de controle de acesso na API que permitiu ao atacante raspar novamente todos os dados
      Não há muita informação sobre as APIs oferecidas pela 23andMe, mas encontrei uma no RapidAPI (https://rapidapi.com/23andme/api/23andme); se houve uma vulnerabilidade de controle de acesso ou uma invasão de usuário com elevação de privilégios, teria sido possível usar uma única pessoa como ponto de partida para baixar dados por vários endpoints e, pelo endpoint de parentes, seguir recursivamente todos os parentes e baixar os dados de cada um uma vez. Há até um endpoint de genoma completo individual
      Por enquanto, suspeito bastante da linha de defesa da 23andMe, mas até que o atacante publique provas de que possui os dados brutos, é difícil demonstrar que a empresa está errada ou mentindo sobre a escala real do ataque. Ainda assim, a alegação de uso da API faz muito mais sentido do que o método apresentado pela 23andMe, e por isso é muito preocupante
    • É estranho que as pessoas sejam tão tolerantes com criadores do OnlyFans enviando vídeos e áudio do próprio fenótipo, enquanto a 23andMe capturar uma pessoa no nível do código-fonte não seja considerado obsceno
    • Se você colocou seus dados de DNA na internet, está na hora de rever os fundamentos de segurança
    • Não entendo por que alguém com conhecimento técnico participaria desse honeypot. Gostaria de saber no que confiou para depositar essa confiança
    • Você usou um nome falso e um cartão de débito pré-pago ao comprar? Eu fiz isso e fico feliz por ter feito
      Claro, se realmente quiserem, ainda podem me rastrear com base em parentes que usam a plataforma
  • “A 23andMe culpou os clientes por reutilizarem senhas”; não sei exatamente como formularam isso, mas isso é uma falha da empresa, não dos clientes
    Clientes reutilizam senhas e continuarão reutilizando. Quando se trata de informações de identificação pessoal sensíveis, é muito mais fácil exigir autenticação em dois fatores ou SSO do Google do que tentar mudar o comportamento dos clientes

    • Não acredito nem por um segundo que milhões de contas em uma plataforma tenham sido comprometidas por credential stuffing por causa de senhas reutilizadas
    • Concordo. Poderiam ter usado verificação por link de e-mail, sem exigir que o usuário configurasse autenticação em dois fatores
    • A autenticação em dois fatores existe, mas é bem provável que haja milhões de contas criadas antes de esse recurso existir e que nunca fizeram login novamente para configurá-lo
      É um método por app autenticador, mais seguro que SMS, mas por ser mais trabalhoso para obter adesão dos usuários, isso pode ter afetado a taxa de adoção
    • Foi uma falha por não impor autenticação multifator
  • Se 300 TB de dados de clientes vazaram sem que a 23andMe percebesse, isso parece negligência. Não deveria haver alertas?

    • “Bob, por que a conta da AWS deste mês está tão alta… ah, droga”
    • Se não foi credential stuffing, eles poderiam ter extraído alguns GB por IP por dia para evitar detecção por volume anômalo
      Ainda assim, a 23andMe deveria ter detecções ou controles que sinalizassem novas localizações geográficas para o armazenamento dos clientes. Afinal, é improvável que tenham falsificado o destino de cada cliente
      Ou então, mesmo ao acessar dados por meio de uma conta de nível administrativo, deveria haver um processo de autorização com trilha de auditoria e fluxo de aprovação
  • É impressionante tentar encobrir a falha de segurança dos próprios sistemas culpando clientes pagantes
    Você não controla os usuários, mas controla sua postura de segurança. A atitude e o julgamento da liderança da 23andMe são péssimos

    • A atitude que transparece nessa reação não parece ser “desculpem pelo vazamento dos dados”, mas sim algo mais próximo de “que pena que não podemos mais ganhar dinheiro com esses dados”
      O produto da 23andMe é o DNA dos usuários, apenas embalado de forma bonitinha e fácil de digerir
  • Se eles não detectaram milhões de registros sendo roubados por credential stuffing, isso também não é uma desculpa melhor para a empresa
    Acho que vou morrer antes de ver uma empresa assumir responsabilidade pelos próprios atos, então nem fico surpreso

  • A 23andMe surgiu quando eu estava no ensino médio, e um professor de ciências dedicou uma aula inteira a explicar por que nunca deveríamos usar esse serviço
    Sinceramente, foi uma das aulas mais valiosas que já tive, e graças a ela nunca sequer pensei em chegar perto disso
    Acho que privacidade de dados deveria entrar em alguma disciplina obrigatória de saúde na escola. Só que o currículo oficial provavelmente seria estragado por lobby e acabaria não ensinando nada realmente valioso

    • Não entendo por que aquela aula teria sido tão valiosa. Também não entendo por que usar a 23andMe seria o maior arrependimento da vida de alguém
      O que há de privado no DNA
  • Posts recentes relacionados:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - outubro de 2023, 20 comentários
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - outubro de 2023, 3 comentários
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - outubro de 2023, 2 comentários

  • “O tipo de informação coletada por empresas de testes genéticos atualmente não é protegido pela HIPAA, a lei de proteção de informações de saúde dos EUA.”
    Parece que os lobistas do setor de testes genéticos fizeram um bom trabalho

    • Se o DNA físico fosse informação de saúde protegida, todos os lugares onde deixamos DNA teriam de ter a mesma segurança de um consultório médico
      Mas dados revelados pela análise do DNA, como a presença ou não de doenças genéticas, deveriam ser informações de saúde protegidas
      É estranho que algo possa passar de “não é informação de saúde protegida” para “agora é informação de saúde protegida” só porque processaram um fio de cabelo
      “A partir de que ponto isso se torna informação de saúde protegida” deve ser uma pergunta difícil de responder
      Pessoalmente, acho que a proteção de dados relacionados a DNA precisa de um regime separado, diferente da HIPAA
    • Há alguma base para isso? Isso já foi realmente analisado, ou é algo que você simplesmente inventou?