تقول شركة 23andMe إن المتسللين تمكنوا من الوصول إلى “عدد كبير” من الملفات المتعلقة بأصول المستخدمين

أعلنت شركة الاختبارات الجينية 23andMe يوم الجمعة أن المتسللين تمكنوا من الوصول إلى حوالي 14000 حساب عميل في خرق بيانات الشركة الأخير.

في ملف جديد لدى هيئة الأوراق المالية والبورصة الأمريكية وقالت الشركة، التي نُشرت يوم الجمعة، إنها توصلت، بناءً على تحقيقاتها في الحادث، إلى أن المتسللين تمكنوا من الوصول إلى 0.1% من قاعدة عملائها. وفقا لأحدث تقرير أرباح سنوي للشركةلدى 23andMe “أكثر من 14 مليون عميل حول العالم”، مما يعني أن 0.1% يبلغ حوالي 14000.

لكن الشركة قالت أيضًا إنه من خلال الوصول إلى تلك الحسابات، تمكن المتسللون أيضًا من الوصول إلى “عدد كبير من الملفات التي تحتوي على معلومات الملف الشخصي حول أصول المستخدمين الآخرين والتي اختار هؤلاء المستخدمون مشاركتها عند الاشتراك في ميزة DNA Relatives الخاصة بشركة 23andMe”.

ولم تحدد الشركة ما هو هذا “العدد الكبير” من الملفات، ولا عدد هؤلاء “المستخدمين الآخرين” الذين تأثروا.

ولم تستجب شركة 23andMe على الفور لطلب التعليق، والذي تضمن أسئلة حول هذه الأرقام.

في أوائل أكتوبر، كشفت شركة 23andMe عن حادثة قام فيها قراصنة بسرقة بيانات بعض المستخدمين باستخدام تقنية شائعة تُعرف باسم “حشو بيانات الاعتماد”، حيث اخترق مجرمو الإنترنت حساب الضحية باستخدام كلمة مرور معروفة، ربما تم تسريبها بسبب خرق بيانات على حساب آخر. خدمة. خدمة.

لكن الضرر لم يتوقف عند العملاء الذين تم الوصول إلى حساباتهم. يسمح 23andMe للمستخدمين بالاشتراك في ميزة تسمى أقارب الحمض النووي. إذا اختار أحد المستخدمين هذه الميزة، فستقوم 23andMe بمشاركة بعض معلومات هذا المستخدم مع الآخرين. وهذا يعني أنه من خلال الوصول إلى حساب أحد الضحايا، تمكن المتسللون أيضًا من رؤية البيانات الشخصية للأشخاص المرتبطين بتلك الضحية الأولية.

وقالت شركة 23andMe في الملف إنه بالنسبة للمستخدمين الأوائل البالغ عددهم 14000، فإن البيانات المسروقة “تتضمن عمومًا معلومات عن السلالة، وبالنسبة لمجموعة فرعية من تلك الحسابات، معلومات متعلقة بالصحة بناءً على جينات المستخدم”. بالنسبة للمجموعة الفرعية الأخرى من المستخدمين، قالت شركة 23andMe فقط إن المتسللين سرقوا “معلومات الملف الشخصي” ثم نشروا “معلومات معينة” غير محددة عبر الإنترنت.

قامت TechCrunch بتحليل المجموعات المنشورة من البيانات المسروقة من خلال مقارنتها بسجلات الأنساب العامة المعروفة، بما في ذلك المواقع الإلكترونية التي ينشرها الهواة وعلماء الأنساب. على الرغم من أن مجموعات البيانات تم تنسيقها بشكل مختلف، إلا أنها تحتوي على بعض من نفس المعلومات الفريدة للمستخدم والمعلومات الجينية التي تطابق السجلات الجينية المنشورة على الإنترنت قبل سنوات.

قال مالك أحد مواقع الأنساب، والذي تم الكشف عن بعض معلومات أقاربهم من خلال خرق بيانات 23andMe، لـ TechCrunch أن لديهم حوالي 5000 من الأقارب الذين تم اكتشافهم من خلال 23andMe، وقال إن “علاقاتنا قد تأخذ ذلك في الاعتبار”.

أخبار خرق البيانات ظهرت على الانترنت في أكتوبر، عندما أعلن قراصنة عن البيانات المزعومة لمليون مستخدم من أصل يهودي أشكنازي و100 ألف مستخدم صيني في منتدى قرصنة معروف. وبعد مرور أسبوعين تقريبًا، أعلن نفس المتسلل الذي أعلن عن بيانات المستخدم الأولية المسروقة عن السجلات المزعومة لأربعة ملايين شخص إضافي. كان المتسلل يحاول بيع بيانات الضحايا الأفراد مقابل دولار واحد إلى 10 دولارات.

وجدت TechCrunch أن متسللًا آخر في منتدى قرصنة مختلف قد أعلن عن المزيد من بيانات المستخدم المزعومة المسروقة قبل شهرين من الإعلان الذي نشرته وسائل الإعلام في البداية في أكتوبر. في هذا الإعلان الأول، ادعى المتسلل أن لديه 300 تيرابايت من بيانات مستخدم 23andMe المسروقة، وطلب 50 مليون دولار لبيع قاعدة البيانات بأكملها، أو ما بين 1000 دولار و10000 دولار لمجموعة فرعية من البيانات.

ردًا على خرق البيانات، في 10 أكتوبر، أجبرت شركة 23andMe المستخدمين على إعادة تعيين كلمات المرور الخاصة بهم وتغييرها وشجعتهم على تشغيل المصادقة متعددة العوامل. وفي 6 نوفمبر، طلبت الشركة من جميع المستخدمين استخدام التحقق من خطوتين، وفقًا للملف الجديد.

بعد اختراق 23andMe، بدأت شركات اختبار الحمض النووي الأخرى Ancestry وMyHeritage في فرض المصادقة الثنائية.