23andMeは昨日ブログを公開し、ハッカーがアカウントにアクセスするために再利用されたログイン名を使用した後、同社の遺伝子検査および分析プラットフォームのユーザーからのデータがダークウェブのフォーラムに出回ったと述べた。 BleepingComputerは木曜日、ハッカーがアシュケナージ系ユダヤ人に関する「100万行のデータ」を漏洩し、盗んだ23andMeのデータをアカウント当たり1ドルから10ドルで販売すると述べたと書いた。このデータには、ユーザーの名前、個人の写真、遺伝的祖先結果、生年月日、地理的位置が含まれます。
同社はBleepingComputerに対し、データが本物であることを声明で認めた。 23andMe編集長のスコット・ハドリー氏は声明文で、「今回の調査の暫定結果は、これらのアクセス試行に使用されたログイン認証情報が、他のオンラインプラットフォームのユーザーがログイン認証情報をリサイクルしていた事件で漏洩したデータから、脅威アクターによって収集された可能性があることを示している」と書いた。同氏は、「当社のシステムにセキュリティインシデントが発生した」兆候はないと付け加えた。 BleepingComputerは、「DNA Kinship」と呼ばれる23andMe独自のオプション機能を通じて他のユーザーのデータが盗まれたと報告した。
23andMe のブログ投稿には、パスワードのリセットと多要素認証のセットアップ手順へのリンクが記載されています。同社はプライバシーとセキュリティの診断ページへのリンクも提供し、サポートが必要なユーザーはサポートチームにメールで問い合わせることができると述べた。
PCMagは水曜日、現在削除されているハッカーフォーラムの別の投稿のスクリーンショットを共有したダークウェブ情報プロバイダーの投稿を引用して、最大700万のアカウントが売りに出されている可能性があると報じた。これは、23andMe プラットフォームの総ユーザー数の約半分に相当します。 ArsTechnica によると、ハッカーらは、23andMe の CEO は 2 か月前にデータ侵害について知っていたが、事件を公表しなかったと主張した。
一方、23andMe はサポート アカウントからのメッセージを投稿しました。