Milhões de registros adicionais de usuários da 23andMe vazam em fórum de cibercrime
(techcrunch.com)- Duas semanas após o primeiro vazamento de dados de usuários da 23andMe vir a público, o mesmo hacker publicou no BreachForums um novo conjunto de dados com 4 milhões de registros
- Um hacker chamado Golem afirmou que o novo conjunto inclui usuários da Grã-Bretanha e também informações das “pessoas mais ricas que vivem nos Estados Unidos e na Europa Ocidental”
- A TechCrunch confirmou que parte dos novos dados vazados corresponde a informações de usuários e dados genéticos da 23andMe que já haviam sido publicados
- Após tomar conhecimento do novo vazamento, a 23andMe está analisando a autenticidade dos dados e já havia orientado os usuários a trocar a senha e ativar a autenticação multifator
- Como ainda não foram confirmados o método real de invasão, a escala total do vazamento e o objetivo do uso dos dados roubados, permanecem riscos adicionais para os usuários da 23andMe
Dados adicionais publicados no BreachForums
- Um hacker chamado Golem publicou no fórum de cibercrime BreachForums um novo conjunto com 4 milhões de registros de usuários da 23andMe
- O mesmo hacker já havia vazado, duas semanas antes, outro pacote de dados de usuários roubados da empresa de testes genéticos 23andMe
- A TechCrunch confirmou que parte dos dados recém-vazados corresponde a informações públicas de usuários e dados genéticos da 23andMe
- Golem afirma que o conjunto inclui informações de pessoas da Grã-Bretanha
- Ele também afirma que a lista inclui dados das “pessoas mais ricas que vivem nos Estados Unidos e na Europa Ocidental”
- O porta-voz da 23andMe, Andy Kill, disse que a empresa tomou conhecimento do novo vazamento e está verificando se os dados são realmente da 23andMe
Explicação da 23andMe sobre o incidente e medidas de segurança de conta
- Em 6 de outubro, a 23andMe anunciou que hackers obtiveram dados de alguns usuários e explicou que foi usado credential stuffing
- Credential stuffing é uma técnica que testa combinações de nome de usuário ou e-mail e senha já expostas em outros vazamentos de dados
- Como resposta ao incidente, a 23andMe exigiu que os usuários alterassem a senha e recomendou ativar a autenticação multifator
- Segundo a página oficial de resposta ao incidente, a 23andMe iniciou uma investigação com a ajuda de “especialistas forenses terceirizados”
- A empresa apontou a reutilização de senha por clientes e o recurso opcional DNA Relatives como causas do incidente
- DNA Relatives é um recurso que permite visualizar dados de outros usuários que aderiram voluntariamente e têm correspondência genética
- Se esse recurso estiver ativado, um hacker pode invadir uma conta e coletar dados de vários usuários
Questões que ainda não foram esclarecidas
- Não está claro se o hacker realmente usou credential stuffing ou outro método
- O volume total de dados de usuários roubados ainda é desconhecido
- Também não foi confirmado como o hacker pretende usar os dados
- É possível que o incidente tenha ocorrido, ou pelo menos começado, há alguns meses
- Em 11 de agosto, um hacker anunciou um conjunto de dados de usuários da 23andMe em outro fórum de cibercrime chamado Hydra
- Segundo análise da TechCrunch, esse conjunto corresponde a parte dos registros de usuários vazados duas semanas antes
- O hacker no Hydra afirmou possuir 300 TB de dados de usuários da 23andMe, mas não apresentou provas
- Até agora, o alcance total do vazamento não está claro, e a própria 23andMe aparentemente ainda não conseguiu determinar quantos dados foram exfiltrados
1 comentários
Comentários no Hacker News
A 23andMe culpar a reutilização de senhas pelos clientes e o DNA Relatives, um recurso opt-in que permite ver dados de outros participantes com correspondência genética, é uma forma de desviar do problema central.
As opções de compartilhamento do DNA Relatives não têm granularidade suficiente e, basicamente, há só uns dois níveis, o que não basta.
Além disso, a 23andMe limita a visualização aos 1.500 parentes mais próximos entre as pessoas que participam do DNA Relatives; com essa estrutura, se um hacker assumisse apenas alguns milhares de contas, poderia coletar haplogrupos, estimativas de origem étnica, nomes, perfis, listas de parentes e informações de origem geográfica da maior parte do banco de dados.
Esse limite de 1.500 pessoas ajuda em teoria, mas, por um período recente, também era possível ver perfis além desse alcance, e não está claro se isso fez parte do método de exploração.
Se é preciso sair para ter privacidade total, não entendo como isso pode ser um recurso opt-in.
Também não fica claro o que significa privacidade total aqui, nem como ela difere da privacidade que se pode esperar razoavelmente.
Acho que a alegação da empresa de que esse recurso é opt-in não faz sentido.
Se um usuário reutilizou uma senha, isso pode ter sido a causa do comprometimento de uma única conta, mas a empresa poderia ter mitigado facilmente para impedir que o dano aumentasse.
Não deveria ser possível extrair dados de milhões de pessoas apenas com um conjunto de contas hackeadas.
Fico me perguntando se a CEO da 23andMe também vai passar os próximos 10 anos sendo convocada pelo Congresso.
Usar a 23andMe foi um dos maiores arrependimentos da minha vida. Fiz isso quando ainda não me preocupava com privacidade, porque estava em promoção na Amazon.
Mesmo que eu peça a exclusão, não tenho nenhuma confiança de que eles realmente apagarão meus dados; e, mesmo que apaguem, não sei se esses dados já não entraram em algum modelo ou pesquisa e continuam vivos por aí.
Parte de mim nem quer saber se meus dados foram incluídos neste vazamento. Isso parece diferente de um vazamento de cartão de crédito ou de dados de compras.
O pior é que eu não acessava a 23andMe havia muito tempo e, provavelmente, isso foi antes de eu me preocupar de verdade com segurança de senhas, então não seria surpreendente.
Facebook e Google têm um retrato muito mais preciso que podem usar para manipular pessoas, e a 23andMe não passa de uma curiosidade.
Meus dados provavelmente também estão neste vazamento, mas não vou gastar nem 1 segundo da minha vida me arrependendo disso.
É só esperar para ver se dá para receber algo em uma ação coletiva. Se, como no hack da Experian, chegar pelo correio um cheque ridiculamente pequeno, pelo menos vou ter um objeto para deixar na mesa de centro.
Só que me cadastrei com um pseudônimo, dei o kit de teste ao meu pai e também fiz uma tia minha fazer o teste.
Não foi preciso, mas bastou para matar a curiosidade.
No fim, tudo será hackeado um dia. Como disse um hacker famoso, devemos presumir que tudo o que dizemos ou escrevemos um dia se tornará informação pública.
Além disso, talvez alguém diga “como você pôde fazer isso com seu pai?”, mas, se o conhecessem, entenderiam. Ele vive praticamente fora da rede e está perto de morrer, e minha tia já faleceu.
Sou uma das vítimas do vazamento. Tenho conhecimento técnico, entendo bem de segurança e uso senhas únicas e seguras em todos os lugares
Essa empresa e essa porcaria de empurrar a culpa para os outros me dão nojo
Isso é praticamente doxxing corporativo. Vai continuar se repetindo até que executivos individuais de grandes empresas que cospem na cara dos usuários sejam responsabilizados pessoalmente por coisas assim
Até lá, eles não têm obrigação nenhuma de se importar de verdade. Somos apenas matéria-prima colocada dentro de uma máquina de fazer dinheiro
Mais do que o vazamento em si, é a ausência de responsabilização que dá mais raiva
É chocante o clima nos comentários culpando as vítimas
Mesmo supondo que cada pessoa tenha 1.500 matches e que não haja parentes em comum, seriam necessárias aproximadamente 10 mil contas hackeadas com sucesso para chegar ao volume de dados vazados, cerca de 14 milhões de pessoas
Na prática, muitas pessoas têm parentes em comum, então muito mais do que 10 mil contas teriam de ter sido atacadas, e durante todo esse tempo a 23andMe não poderia ter percebido nada suspeito. Isso é muito pouco plausível
A 23andMe afirma que a causa raiz desse vazamento foi credential stuffing, mas os hackers que postaram primeiro no Hydra Market dois meses atrás afirmaram que simplesmente usaram ou abusaram da API que a 23andMe fornecia a parceiros acadêmicos e de pesquisa
Os hackers alegaram ter 300 TB, incluindo dados brutos, mas ainda não apresentaram provas de que o alcance do ataque tenha sido desse tamanho. Mas, se essa alegação for verdadeira, essa violação combina bem com a alegação de uso da API, não com credential stuffing
Portanto, se a escala informada pelo atacante estiver correta, é muito mais provável que tenham raspado todos os dados por uma das APIs da 23andMe do que por credential stuffing. Um dos pesquisadores parceiros pode ter sido hackeado, ou pode ter existido — ou ainda existir — uma vulnerabilidade de controle de acesso na API que permitiu ao atacante raspar novamente todos os dados
Não há muita informação sobre as APIs oferecidas pela 23andMe, mas encontrei uma no RapidAPI (https://rapidapi.com/23andme/api/23andme); se houve uma vulnerabilidade de controle de acesso ou uma invasão de usuário com elevação de privilégios, teria sido possível usar uma única pessoa como ponto de partida para baixar dados por vários endpoints e, pelo endpoint de parentes, seguir recursivamente todos os parentes e baixar os dados de cada um uma vez. Há até um endpoint de genoma completo individual
Por enquanto, suspeito bastante da linha de defesa da 23andMe, mas até que o atacante publique provas de que possui os dados brutos, é difícil demonstrar que a empresa está errada ou mentindo sobre a escala real do ataque. Ainda assim, a alegação de uso da API faz muito mais sentido do que o método apresentado pela 23andMe, e por isso é muito preocupante
Claro, se realmente quiserem, ainda podem me rastrear com base em parentes que usam a plataforma
“A 23andMe culpou os clientes por reutilizarem senhas”; não sei exatamente como formularam isso, mas isso é uma falha da empresa, não dos clientes
Clientes reutilizam senhas e continuarão reutilizando. Quando se trata de informações de identificação pessoal sensíveis, é muito mais fácil exigir autenticação em dois fatores ou SSO do Google do que tentar mudar o comportamento dos clientes
É um método por app autenticador, mais seguro que SMS, mas por ser mais trabalhoso para obter adesão dos usuários, isso pode ter afetado a taxa de adoção
Se 300 TB de dados de clientes vazaram sem que a 23andMe percebesse, isso parece negligência. Não deveria haver alertas?
Ainda assim, a 23andMe deveria ter detecções ou controles que sinalizassem novas localizações geográficas para o armazenamento dos clientes. Afinal, é improvável que tenham falsificado o destino de cada cliente
Ou então, mesmo ao acessar dados por meio de uma conta de nível administrativo, deveria haver um processo de autorização com trilha de auditoria e fluxo de aprovação
É impressionante tentar encobrir a falha de segurança dos próprios sistemas culpando clientes pagantes
Você não controla os usuários, mas controla sua postura de segurança. A atitude e o julgamento da liderança da 23andMe são péssimos
O produto da 23andMe é o DNA dos usuários, apenas embalado de forma bonitinha e fácil de digerir
Se eles não detectaram milhões de registros sendo roubados por credential stuffing, isso também não é uma desculpa melhor para a empresa
Acho que vou morrer antes de ver uma empresa assumir responsabilidade pelos próprios atos, então nem fico surpreso
A 23andMe surgiu quando eu estava no ensino médio, e um professor de ciências dedicou uma aula inteira a explicar por que nunca deveríamos usar esse serviço
Sinceramente, foi uma das aulas mais valiosas que já tive, e graças a ela nunca sequer pensei em chegar perto disso
Acho que privacidade de dados deveria entrar em alguma disciplina obrigatória de saúde na escola. Só que o currículo oficial provavelmente seria estragado por lobby e acabaria não ensinando nada realmente valioso
O que há de privado no DNA
Posts recentes relacionados:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - outubro de 2023, 20 comentários
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - outubro de 2023, 3 comentários
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - outubro de 2023, 2 comentários
“O tipo de informação coletada por empresas de testes genéticos atualmente não é protegido pela HIPAA, a lei de proteção de informações de saúde dos EUA.”
Parece que os lobistas do setor de testes genéticos fizeram um bom trabalho
Mas dados revelados pela análise do DNA, como a presença ou não de doenças genéticas, deveriam ser informações de saúde protegidas
É estranho que algo possa passar de “não é informação de saúde protegida” para “agora é informação de saúde protegida” só porque processaram um fio de cabelo
“A partir de que ponto isso se torna informação de saúde protegida” deve ser uma pergunta difícil de responder
Pessoalmente, acho que a proteção de dados relacionados a DNA precisa de um regime separado, diferente da HIPAA