23andMe将大规模数据泄露归咎于其用户

根据DNA服务提供商23andMe的说法，如果您是用户，您就应该因在其他网站上重复使用您的密码而受到指责。在因数据泄露引发的诉讼中，DNA服务提供商23andMe的回复信试图将责任归咎于受影响的客户，因此受到了严厉批评。

2023年10月，总部位于加利福尼亚州山景城的热门DNA检测公司23andMe遭遇数据泄露。此次事件中，黑客泄露了超过700万客户的个人信息。

此外，另一名黑客试图以10万美元的价格出售23andMe用户的基因记录，捆绑10万份个人资料。黑客在数据泄露中获取的信息包括以下详细信息：

1. 名称

2. 性别

3. 出生年份

4. 血统报告

5. 一些DNA数据

6. 自我报告的地点

7. 预测的关系

8. 最近登录日期

9. 关系标签（例如“母亲”、“表弟”）

10. 基于遗传图谱的健康相关信息

11. 与DNA亲属匹配的DNA共享百分比

由于数据泄露，23andMe面临诉讼。在向库克县巡回法院提交的一封信中，该公司将数据泄露归咎于客户自己，并声称泄露的发生是因为用户重复使用了他们的登录凭据。

具体来说，该公司声称，用户在23andMe上使用的用户名和密码与之前经历过安全漏洞的其他网站相同。据23andMe称，这种做法以及用户在这些事件发生后未能更新密码与23andMe方面的任何安全漏洞无关。

这封信还声称，威胁行为者不可能造成“金钱损失”，因为它缺乏个人身份信息（PII）数据，例如社会安全号码、驾驶执照号码或任何付款或财务信息。

“……未经授权的行为者在用户回收自己的登录凭据的情况下设法访问某些用户帐户，也就是说，用户在 23andMe.com 上使用的用户名和密码与之前遭受过安全漏洞的其他网站相同，并且用户在这些过去的安全事件之后，他们疏忽地回收并未能更新其密码，这些事件与 23andMe 无关。” 此外，未经授权的行为者可能获得的有关原告的信息不可能造成金钱损失（其中不包括他们的社会安全号码、驾驶执照号码或任何付款或财务信息）。” ---23andme

值得注意的是，最初，23andMe声称只有14000个帐户被直接泄露，并称黑客使用了“凭证填充”，这意味着从其他网站窃取的登录凭证被用来访问23andMe帐户。这导致一些人批评该公司暗示用户的疏忽是造成此次泄露的原因。

然而，进一步调查显示，攻击者从更多的个人资料中获取了信息：与受感染帐户相关的550万个DNA亲属资料和140万个家谱资料。虽然23andMe仍然坚称最初的泄露涉及14000个账户，但这种更广泛的信息访问引发了批评，称该公司淡化了事件的严重性。

值得注意的是，仅仅依赖密码被认为是一个安全漏洞。这就是为什么许多专家提倡使用双因素身份验证(2FA)作为额外的安全层。有趣的是，23andMe在漏洞发生后为所有用户引入了强制性2FA，这表明他们承认仅密码系统是不够的。

为了深入了解23andMe的主张，我们联系了Salt Security的现场首席技术官Nick Rago，他补充道：“在这个社会工程攻击日益复杂的时代，任何有关数据泄露的主张都不会造成‘金钱损失’，因为它不包含社会安全号码、驾照号码或信用卡数据，只能半开玩笑地完成。”

Nick反驳了23andMe的说法，即黑客不需要PII数据来伤害毫无戒心的用户，尤其是随着Deepfake和人工智能技术的出现。尼克还警告说，揭示家谱或关系细节可以帮助攻击者构建小规模和大规模的有针对性的社会工程攻击。

“在构建有针对性的社会工程攻击时，暴露任何谱系或关系信息对于攻击者来说非常有用，无论是针对欺骗消费者、窃取身份，还是作为更复杂的攻击活动的一个阶段，例如获得特权企业基础设施中的系统访问，”尼克说。

Comforte AG的网络安全专家Erfan Shadabi告诉我们：“将全部责任归咎于用户是一个有缺陷的论点，它过度简化了网络安全的复杂情况。虽然用户确实必须遵循帐户安全的最佳实践，但公司也必须保护委托给他们的敏感信息。令人钦佩的是，23andMe最近采取了要求双因素身份验证(2FA)的措施来加强对撞库攻击的防御。”