Das Gentestunternehmen 23andMe hat einen Sicherheitsvorfall untersucht, nachdem Hacker letzte Woche in einem Hackerforum eine Fülle angeblich gestohlener Benutzerdaten angekündigt hatten. Doch die mutmaßlich gestohlenen Daten waren möglicherweise schon viel länger im Umlauf, als zunächst bekannt war.
Tech hat außerdem herausgefunden, dass einige der beworbenen gestohlenen Daten mit bekannten 23andMe-Benutzerinformationen übereinstimmen.
Am 11. August bewarb ein Hacker in einem bekannten Cyberkriminalitätsforum namens Hydra eine Reihe von 23andMe-Benutzerdaten, die mit einigen der Daten übereinstimmen, die letzte Woche in einem anderen Hackerforum namens BreachForums durchgesickert waren.
Der Hacker behauptete in einem früheren Beitrag auf Hydra, über 300 Terabyte an gestohlenen 23andMe-Benutzerdaten zu verfügen, und sagte, er habe 23andMe kontaktiert, „aber anstatt die Angelegenheit ernst zu nehmen, stellten sie irrelevante Fragen.“ Der Hacker verlangte 50 Millionen US-Dollar für die Daten und behauptete, sie würden sie nur einmal verkaufen, bot aber auch an, nur einen Teil der Daten für 1.000 bis 10.000 US-Dollar zu verkaufen.
Aber mindestens eine Person hat den Hydra-Beitrag gesehen und ihn im offenen Internet veröffentlicht, lange bevor letzte Woche die Nachricht über das Leck bekannt wurde. Am selben Tag wie der Beitrag im Hydra-Forum schrieb ein Reddit-Benutzer auf dem inoffiziellen Subreddit 23andMeum andere Benutzer auf den mutmaßlichen Verstoß aufmerksam zu machen.
In dem Hydra-Beitrag teilte der Hacker die angeblichen genetischen Daten einer leitenden Führungskraft aus dem Silicon Valley mit, die das gleiche Benutzerprofil und die gleichen genetischen Daten enthielten wie in einem der letzte Woche auf BreachForums beworbenen Datensätze, obwohl die beiden Datensätze unterschiedlich strukturiert sind. Die auf BreachForums beworbenen Datensätze umfassen angeblich eine Million 23andMe-Benutzer jüdischer aschkenasischer Abstammung und 100.000 chinesische 23andMe-Benutzer.
23andMe hat es wiederholt abgelehnt, zu bestätigen, ob die geleakten Daten legitim sind. Das Unternehmen lehnte es ab, eine Reihe von Fragen zu dieser Geschichte zu beantworten, darunter auch die Frage, ob ihm dieser Hacking-Forumsbeitrag von vor zwei Monaten bekannt war.
Katie Watson, Sprecherin von 23andMe, sagte gegenüber Tech: „Diese Angelegenheit ist Gegenstand einer laufenden Untersuchung.“ Wir können zum jetzigen Zeitpunkt keine weiteren Kommentare abgeben.“
Kontaktiere uns
Haben Sie weitere Informationen zum 23andMe-Vorfall? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Tech analysierte einige der angeblich gestohlenen Daten, indem es sie mit bekannten öffentlichen Genealogie-Aufzeichnungen verglich, etwa solchen, die online von Hobbyforschern und Genealogen veröffentlicht wurden. Tech hat in den angeblich gestohlenen Daten mehrere Dutzend Datensätze gefunden, die mit demselben Benutzerprofil und denselben genetischen Informationen übereinstimmen, die in öffentlichen Genealogie-Aufzeichnungen gefunden wurden. Dies scheint konsistent zu sein 23andMes Aussage dass die gestohlenen Daten von „bestimmten Konten“ durch Credential Stuffing erlangt wurden, einer gängigen Hacking-Technik, die darin besteht, Passwörter für einen Dienst auszuprobieren, die bereits bei einem anderen Dienst durchgesickert oder online veröffentlicht wurden, in der Hoffnung, dass das Opfer ein Passwort wiederverwendet hat.
Im Wesentlichen wirft 23andMe Benutzern die Wiederverwendung von Passwörtern vor und gibt an, dass das Leck dadurch verursacht wurde, dass Hacker in die Konten dieser Benutzer eingedrungen sind und dann deren Daten, einschließlich der Verwandten des Opfers, abgekratzt haben.
Das Unternehmen hat auch auf eine Besonderheit hingewiesen, die erklären könnte, warum Hacker so viele Daten angehäuft haben. 23andMe verfügt über eine Opt-in-Funktion namens DNA-Verwandtewodurch Benutzer in den Konten anderer Benutzer angezeigt werden können, die sich ebenfalls für die Funktion entschieden haben.
Es ist unklar, ob alle beworbenen Daten legitim sind oder wie viele legitime Datenhacker tatsächlich besitzen. Es ist nicht ungewöhnlich, dass Hacker ihre Daten übertreiben, um die Chance zu erhöhen, sie in Hacking-Foren zu verkaufen.
In der Zwischenzeit hat 23andMe alle Benutzer aufgefordert, am Montagabend ihre Passwörter zurückzusetzen und zu ändern, und sie dazu ermutigt, die Multi-Faktor-Authentifizierung zu aktivieren. Tech hat mit zwei 23andMe-Benutzern gesprochen, von denen einer die E-Mail zum Zurücksetzen des Passworts erhalten hat und der andere nicht. Letzterer war jedoch gezwungen, sein Passwort zu ändern, als er sich in sein 23and-me-Konto einloggte.