金曜日、遺伝子検査会社23andMeはハッカーが顧客の0.1%、約1万4000人の個人データに直接アクセスしたと発表した。同社はまた、ハッカーらはこれらのアカウントにアクセスすることで「他のユーザーの先祖のプロフィール情報を含む多数のファイル」にもアクセスできたと述べた。しかし、23andMeは、同社が最初に10月初めに明らかにしたこの脆弱性の影響を受ける「他のユーザー」の数を明らかにしなかった。このデータ侵害の被害者は「他のユーザー」も多数いたことが判明し、合計 690 万人が影響を受けました。
23andMeの広報担当ケイティ・ワトソン氏は、土曜日遅くにTechCrunchに宛てた電子メールの中で、ハッカーが23andMeのDNA関連ルックアップ機能をオプトインした約550万人の個人情報にアクセスしたことを認めた。この機能により、ユーザーは自分のデータの一部を他のユーザーと自動的に共有できるようになる。盗まれたデータには、個人の名前、誕生年、関係タグ、親族と共有される DNA の割合、祖先報告、自己報告された場所が含まれていました。
23andMeはまた、DNARelativesにオプトインした別の約140万人の「家系図プロフィール情報にもアクセスされた」ことを確認したと広報担当者は述べ、そこには名前、関係性タグ、誕生年、自己申告の場所、ユーザーが情報を共有することに決めたかどうかなどが含まれていたと述べた。 (23andMe は、電子メールの一部は「背景情報」であり、両当事者が事前に関連条件に同意することを要求していると述べています)。
23andMeが金曜日にデータを開示しなかった理由は不明である。新たに追加されたデータを考慮すると、このデータ侵害は実際には 23andMe の合計 1,400 万人の顧客の約半数に影響を及ぼしました。
10月初旬、あるハッカーが23andMeユーザーのDNA情報を盗んだと主張する投稿を有名なハッカーフォーラムに投稿した。侵害の証拠として、ハッカーはユダヤ系アシュケナージ系ユーザー100万人と中国人ユーザー10万人分のデータを公開し、購入希望者に対し、個人アカウント当たり1~10ドルでデータを購入するよう求めた。 2週間後、同じハッカーがさらに400万人の記録とされるものを同じハッカーフォーラムで公開した。
その後、別のハッカーが、広く報道される 2 か月前に、盗まれたとされる 23andMe の顧客データの広告を別のハッカー フォーラムに投稿しました。
数カ月前に漏洩したデータを分析すると、アマチュアや系図学者がオンラインに投稿した遺伝子データと一致する記録を見つけるのは難しくない。 2 つの情報セットは形式が異なりますが、同じ固有のユーザー データと一般データの一部が含まれており、ハッカーによって漏洩されたデータが少なくとも部分的に 23andMe の実際の顧客データであることを示唆しています。
23andMeが今年10月にこの事件を公表した際、データ侵害は顧客がパスワードを再利用したことが原因で、ハッカーが他社のデータ侵害で暴露されたパスワードを使用して被害者のアカウントをブルートフォース攻撃できるようになったと述べた。 DNARelatives 機能はユーザーとその親族を照合するため、個人アカウントを侵害することでハッカーがアカウント所有者とその親族の個人データを閲覧し、23andMe の被害者の総数を拡大する可能性があります。