تحقق شركة الاختبارات الجينية 23andMe في خرق للبيانات أدى إلى كشف معلومات العملاء، بما في ذلك صور الملفات الشخصية وسنوات الميلاد وتفاصيل النسب لملايين مستخدميها.
وقالت الشركة في بيان نقلته صحيفة “ديلي ميل” البريطانية، إنه تم الحصول على البيانات المخترقة من خلال الوصول غير المصرح به إلى حسابات 23andMe الفردية. آرس تكنيكا. وقالت 23andMe إن النتائج الأولية تشير إلى أن بيانات اعتماد تسجيل الدخول المستخدمة للوصول إلى الحسابات “ربما تم جمعها من قبل جهة تهديد من البيانات المسربة خلال حوادث تنطوي على منصات أخرى على الإنترنت حيث قام المستخدمون بإعادة تدوير بيانات اعتماد تسجيل الدخول”.
تتضمن هذه التقنية، المعروفة باسم حشو بيانات الاعتماد، استخدام أسماء المستخدمين وكلمات المرور التي تم الكشف عنها في الانتهاكات السابقة لاقتحام حسابات أخرى عبر الإنترنت.
بعد ادعاء بأن شخصًا ما قد تمكن من الوصول إلى بيانات معينة لعملاء 23andMe ويقوم ببيعها، أجرينا تحقيقًا. لم نحدد أي وصول غير مصرح به إلى أنظمتنا. وسوف نستمر في مراقبة الوضع.
– 23andMeSupport (@23andMeSupport) 4 أكتوبر 2023
قالت شركة 23andMe في منشور على مدونتها إنه ليس لديها دليل على حدوث انتهاك فعلي لأنظمتها. وكتبت الشركة: “ليس لدينا أي مؤشر في الوقت الحالي على وقوع حادث يتعلق بأمن البيانات داخل أنظمتنا”.
وفق سلكياستهدف الاختراق على وجه التحديد مستخدمي التراث اليهودي الأشكنازي. نشر المتسللون عينة بيانات أولية على منصة BreachForums في وقت سابق من هذا الأسبوع، زاعمين أنها تحتوي على مليون نقطة بيانات حصرية حول اليهود الأشكناز.
تم الحصول على البيانات عن طريق استخراج معلومات الملف الشخصي للأقارب المتصلين من خلال ميزة “DNA Relatives” الخاصة بشركة 23andMe، والتي تتيح للعملاء التواصل مع المطابقات الجينية على المنصة. من خلال الوصول إلى الحسابات المخترقة، يمكن للمتسلل جمع الملفات الشخصية للمستخدمين ذوي الصلة الذين اختاروا مشاركة معلوماتهم.
أوضحت شركة 23andMe في منشور مدونتها: “نعتقد أن جهة التهديد ربما تكون قد قامت بعد ذلك، في انتهاك لشروط الخدمة الخاصة بنا، بالوصول إلى حسابات 23andme.com دون تصريح وحصلت على معلومات من تلك الحسابات”.
هذا هو المبلغ الذي يتم بيع بياناتك به على الويب المظلم
في منتديات القرصنة الأسبوع الماضي، أعلن مستخدم مجهول عن بيع بيانات مستخدم 23andMe، مدعيًا أنه حصل على معلومات عن أكثر من 7 ملايين عميل. وتضمنت البيانات المسربة “الأسماء الكاملة، وأسماء المستخدمين، وصور الملفات الشخصية، والجنس، وتاريخ الميلاد، ونتائج النسب الجيني، والموقع الجغرافي”. BleepingComputer.
وبحسب ما ورد عرض مستخدم آخر في المنتدى إمكانية الوصول إلى الملفات الشخصية لـ 23andMe بكميات كبيرة، بأسعار تتراوح من 1 دولار إلى 10 دولارات لكل حساب.
ولم تكشف 23andMe عن تفاصيل حول عدد المستخدمين المتأثرين أو مدى تسرب البيانات. ولكن وفقا ل آرس تكنيكاتحتوي إحدى قواعد البيانات على مليون عميل من التراث اليهودي الأشكنازي، بينما تحتوي قاعدة البيانات الثانية على 300000 ملف تعريف مستخدم من أصل صيني.
وقد أشار خبراء الأمن مرارا وتكرارا إلى مخاطر البيانات الجينية المخترقة. حذر المركز الوطني الأمريكي لمكافحة التجسس والأمن في فبراير/شباط 2021، من أن “الحمض النووي الخاص بك هو أثمن ما تملكه. فهو يحمل التفاصيل الأكثر حميمية عن ماضيك وحاضرك ومستقبلك المحتمل – سواء كنت عرضة للإدمان أو معرضًا لمخاطر عالية”. للسرطان.”
وتابع المركز: “إن فقدان الحمض النووي الخاص بك لا يشبه فقدان بطاقة الائتمان”. “يمكنك طلب بطاقة ائتمان جديدة، لكن لا يمكنك استبدال الحمض النووي الخاص بك. إن فقدان الحمض النووي الخاص بك لا يؤثر عليك فقط، بل على أقاربك، وربما على الأجيال القادمة.”
تعطيل 23andMe
وقالت شركة 23andMe إنها أبلغت سلطات إنفاذ القانون بالانتهاك وشجعت العملاء على إعادة تعيين كلمات المرور وتمكين المصادقة الثنائية.
وقالت شركة 23andMe: “نحن نراقب ونراجع أنظمتنا بشكل نشط وروتيني للتأكد من حماية بياناتك”. “عندما نتلقى معلومات من خلال تلك العمليات أو من مصادر أخرى تدعي أن بيانات العملاء قد تم الوصول إليها من قبل أفراد غير مصرح لهم، فإننا نقوم بالتحقيق على الفور للتحقق من صحة هذه المعلومات.”
قامت شركة الاختبارات الجينية، التي تقدم رؤى حول السلالة والمخاطر الصحية بناءً على تحليل الحمض النووي، بجمع بيانات وراثية لأكثر من 14 مليون عميل منذ تأسيسها في عام 2006.
وقالت شركة 23andMe إن البيانات المسربة لا تحتوي على أي تفاصيل جينية. لكن المدافعين عن الخصوصية أثاروا منذ فترة طويلة مخاوف بشأن حساسية نتائج تحليل الحمض النووي وتعرض البيانات العرقية للخطر في حالة الاختراق.
ويأتي اختراق 23andMe وسط موجة من الهجمات السيبرانية الكبرى التي تكشف معلومات حساسة للمستخدم. في العام الماضي، تم تسريب 10.9 مليون حساب إجمالاً، مع تسريب 10 حسابات كل ثانية، وفقًا لشركة الخصوصية الرقمية Surfshark.
ملاحظة المحرر: تمت صياغة هذه القصة باستخدام Decrypt AI من المصادر المشار إليها في النص، و التحقق من الحقيقة بواسطة أوزاوا.