Η εταιρεία γενετικών εξετάσεων 23andMe επιβεβαίωσε ότι χάκερς έκλεψαν αναφορές υγείας και δεδομένα γενοτύπων πελατών που επλήγησαν από μια επίθεση credential stuffing που παρέμεινε απαρατήρητη για πέντε μήνες, από τις 29 Απριλίου έως τις 27 Σεπτεμβρίου.

Δείτε επίσης: 23andMe: Hackers Αποκτούν Πρόσβαση σε Εκατομμύρια Προφίλ Πελατών

Τα διαπιστευτήρια που χρησιμοποίησαν οι εισβολείς για να παραβιάσουν τους λογαριασμούς των πελατών, κλάπηκαν από άλλες παραβιάσεις δεδομένων ή χρησιμοποιήθηκαν σε προηγούμενες πλατφόρμες που είχαν παραβιαστεί.

Όπως αποκάλυψε η εταιρεία σε επιστολές ειδοποίησης για παραβίαση δεδομένων που απηύθυνε στους επηρεαζόμενους από το περιστατικό, μέρος των κλεμμένων δεδομένων δημοσιεύτηκε στο φόρουμ χάκινγκ BreachForums και στην ανεπίσημη ιστοσελίδα του 23andMe.

Οι διαρρεύσεις πληροφοριών περιλαμβάνουν τα δεδομένα για 1 εκατομμύριο Ασκενάζιους Εβραίους και 4,1 εκατομμύρια άτομα που ζουν στο Ηνωμένο Βασίλειο.

Με την έρευνά μας διαπιστώθηκε ότι ο κακόβουλος παράγοντας είχε πρόσβαση ή κατέβασε τα αρχεία γενετικών δεδομένων σας και μπορεί να έχει αποκτήσει πρόσβαση και σε άλλες ευαίσθητες πληροφορίες στο λογαριασμό σας, όπως συγκεκριμένες αναφορές υγείας που προέρχονται από την επεξεργασία των γενετικών σας πληροφοριών, συμπεριλαμβανομένων αναφορών προδιάθεσης για την υγεία, αναφορών ευεξίας και αναφορών κατάστασης φορέα.

Για τους πελάτες που χρησιμοποίησαν επίσης το χαρακτηριστικό DNA Relatives της 23andMe, είναι δυνατόν οι επιτιθέμενοι να είχαν αντλήσει επίσης πληροφορίες από τους συγγενείς τους και το προφίλ τους στο Family Tree.

Επίσης, ενδέχεται να έχουν αποκτήσει ορατότητα στις πληροφορίες των πελατών που επηρεάζονται, εάν αυτές κοινοποιηθούν μέσω της λειτουργίας DNA Relatives:

  • Αναφορές καταγωγής και κοινά τμήματα DNA,
  • Αυτοδήλωση τοποθεσίας (πόλη/ταχυδρομικός κώδικας),
  • Τοποθεσίες γέννησης προγόνων και οικογενειακά ονόματα,
  • Φωτογραφία προφίλ, έτος γέννησης και οτιδήποτε άλλο περιλαμβάνεται στην ενότητα “Παρουσίαση του εαυτού σας” του προφίλ τους.

Δείτε ακόμα: 23andMe: Κατηγορεί τους πελάτες-θύματα για την παραβίαση δεδομένων

Τον Δεκέμβριο, η 23andMe δήλωσε ότι οι χάκερς κατέβασαν τα δεδομένα 6,9 εκατομμυρίων ανθρώπων από τους υπαρχόντες 14 εκατομμύρια πελάτες μετά από παραβίαση περίπου 14.000 λογαριασμών χρηστών.

5,5 εκατομμύρια άτομα υπέστησαν παραβίαση δεδομένων μέσω της λειτουργίας Συγγενών DNA και 1,4 εκατομμύρια μέσω της λειτουργίας Family Tree.

Στις 10 Οκτωβρίου, περίπου μία εβδομάδα μετά τον εντοπισμό της επίθεσης, η 23andMe άρχισε να απαιτεί από όλους τους πελάτες την επαναφορά των κωδικών πρόσβασής τους. Από τις 6 Νοεμβρίου, όλοι οι νέοι και υπάρχοντες πελάτες πρέπει να χρησιμοποιούν διπλής πιστοποίησης ταυτότητα κατά την σύνδεσή τους στους λογαριασμούς τους, προκειμένου να αποτρέψουν μελλοντικές προσπάθειες εισβολής με κλοπή διαπιστευτήριων.

Πώς μπορεί κάποιος να προστατευτεί από τις επιθέσεις credential stuffing;

Η προστασία από τις επιθέσεις credential stuffing απαιτεί μια σειρά από μέτρα ασφαλείας. Πρώτον, είναι σημαντικό να χρησιμοποιείτε μοναδικά ονόματα χρήστη και κωδικούς πρόσβασης για κάθε λογαριασμό σας. Αυτό μπορεί να αποτρέψει την επιτυχία των επιθέσεων credential stuffing, καθώς οι επιτιθέμενοι συχνά βασίζονται σε λίστες με κοινούς κωδικούς πρόσβασης και ονόματα χρήστη.

Δεύτερον, η ενεργοποίηση της διπλής πιστοποίησης (2FA) μπορεί να προσφέρει επιπλέον προστασία. Με αυτόν τον τρόπο, ακόμη και αν ένας επιτιθέμενος αποκτήσει πρόσβαση στα διαπιστευτήριά σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας χωρίς το δεύτερο στοιχείο πιστοποίησης.

Τρίτον, η χρήση ενός διαχειριστή κωδικών πρόσβασης μπορεί να βοηθήσει στη δημιουργία και την αποθήκευση ασφαλών κωδικών πρόσβασης. Αυτό μπορεί να καταστήσει πιο δύσκολη την επιθετική δράση του credential stuffing, καθώς οι κωδικοί πρόσβασης που δημιουργούνται από τους διαχειριστές κωδικών πρόσβασης είναι συνήθως πιο πολύπλοκοι και δύσκολοι να ανακαλυφθούν.

Δείτε επίσης: 23andMe: Αλλάζει τους Όρους Χρήσης για να καταστήσει δυσκολότερες τις αγωγές για παραβίαση δεδομένων

Τέλος, είναι σημαντικό να παρακολουθείτε τακτικά τους λογαριασμούς σας για οποιαδήποτε ύποπτη δραστηριότητα. Αν ανακαλύψετε ότι έχετε πέσει θύμα μιας επίθεσης credential stuffing, αλλάξτε αμέσως τους κωδικούς πρόσβασής σας και επικοινωνήστε με την υπηρεσία που παρέχει τον λογαριασμό.

Πηγή: bleepingcomputer