يستمر خرق بيانات 23andMe في التصاعد
يستمر خرق بيانات 23andMe في التصاعد
أكدت شركة 23andMe أن المهاجمين استخدموا تقنية تُعرف باسم حشو بيانات الاعتماد لاختراق حسابات المستخدمين البالغ عددها 14000 حساب، حيث وجدوا حالات تم فيها إعادة استخدام بيانات اعتماد تسجيل الدخول المسربة من خدمات أخرى على 23andMe. وفي أعقاب الحادث، أجبرت الشركة جميع مستخدميها على إعادة تعيين كلمات المرور الخاصة بهم وبدأت في طلب المصادقة الثنائية لجميع العملاء. وفي الأسابيع التي تلت كشف 23andMe في البداية عن اختراقها، ظهرت خدمات أخرى مماثلة. بما في ذلك Ancestry وMyHeritage أيضًا بدأ الترويج أو مطلوب المصادقة الثنائية على حساباتهم.
في أكتوبر، ومرة أخرى هذا الأسبوع، ضغطت WIRED على 23andMe لتتوصل إلى أن اختراقات حساب المستخدم كانت تُعزى فقط إلى هجمات حشو بيانات الاعتماد. رفضت الشركة التعليق مرارًا وتكرارًا، لكن العديد من المستخدمين أشاروا إلى أنهم متأكدون من أن أسماء المستخدمين وكلمات المرور الخاصة بحساب 23andMe الخاصة بهم كانت فريدة ولا يمكن كشفها في مكان آخر في تسرب آخر.
وفي مثال واحد على الأقل، قدمت شركة 23andMe في النهاية شرحًا للمستخدم. قال مدير الأمن السيبراني بوكالة الأمن القومي الأمريكية، روب جويس، يوم الثلاثاء ملحوظة شخصيًا، كان هذا فريدًا وليس حسابًا يمكن انتزاعه من الويب أو مواقع أخرى. كتب جويس أنه يقوم بإنشاء عنوان بريد إلكتروني فريد لكل شركة يستخدمها لإنشاء حساب. وكتب: “لا يتم استخدام هذا الحساب في أي مكان آخر وتم حشوه دون جدوى”، مضيفًا: “رأي شخصي: اختراق @23andMe كان لا يزال أسوأ مما يعتقدون مع الإعلان الجديد”.
بعد ساعات من إثارة جويس هذه المخاوف علنًا (وسألت WIRED موقع 23andMe عن قضيته)، قالت جويس وأن الشركة تواصلت معه لمعرفة ما حدث بحسابه. استخدم جويس عنوان بريد إلكتروني فريدًا لحسابه على موقع 23andMe، ولكن الشركة بالشراكة مع MyHeritage في عامي 2014 و2015 لتعزيز وظيفة “شجرة العائلة” الخاصة بأقارب الحمض النووي، والتي يقول جويس إنه استخدمها لاحقًا. ثم بشكل منفصل، عانت MyHeritage من اختراق البيانات في عام 2018 حيث تم الكشف على ما يبدو عن عنوان البريد الإلكتروني الفريد لـ 23andMe لجويس. ويضيف أنه بسبب استخدام كلمات مرور قوية وفريدة من نوعها في حسابيه MyHeritage و23andMe، لم يتم اختراق أي منهما بنجاح من قبل المهاجمين.
تؤكد الحكاية على مخاطر تبادل بيانات المستخدم بين الشركات وميزات البرامج التي تعزز المشاركة الاجتماعية عندما تكون المعلومات المعنية شخصية للغاية وتتعلق مباشرة بالهوية. من الممكن أن الأعداد الكبيرة من المستخدمين المتأثرين لم تكن موجودة في تقرير هيئة الأوراق المالية والبورصة لأن 23andMe (مثل العديد من الشركات التي عانت من انتهاكات أمنية) لا تريد تضمينها كشط البيانات في فئة خرق بيانات. بيانات. ومع ذلك، فإن هذه الحدود تجعل من الصعب على المستخدمين في النهاية فهم حجم الحوادث الأمنية وتأثيرها.
يقول بريت كالو، محلل التهديدات في شركة الأمن الإلكتروني إمسيسوفت: “أعتقد اعتقادا راسخا أن انعدام الأمن السيبراني يمثل في الأساس مشكلة سياسية”. “نحن بحاجة إلى قوانين موحدة وموحدة للإفصاح والإبلاغ، ولغة محددة لتلك الإفصاحات والتقارير، وتنظيم وترخيص المفاوضين. يحدث الكثير في الظل أو يتم تشويشه بالكلمات المراوغة. إنها تؤدي إلى نتائج عكسية وتساعد فقط مجرمي الإنترنت.
وفي الوقت نفسه، يبدو أن مستخدم 23andMe Kendra Fee وضع علامة يوم الثلاثاء تقوم شركة 23andMe بإخطار العملاء بذلك التغييرات في شروط الخدمة الخاصة به المتعلقة بتسوية المنازعات والتحكيم. وتقول الشركة إن التغييرات “ستشجع على التوصل إلى حل سريع لأي نزاعات” و”تبسيط إجراءات التحكيم حيث يتم تقديم العديد من المطالبات المماثلة”. يمكن للمستخدمين إلغاء الاشتراك في الشروط الجديدة عن طريق إخطار الشركة برفضهم خلال 30 يومًا من تلقي إشعار التغيير.
تم التحديث الساعة 10:35 مساءً بالتوقيت الشرقي، 5 ديسمبر 2023، ليشمل معلومات جديدة حول حساب 23andMe لمدير الأمن السيبراني التابع لوكالة الأمن القومي روب جويس والآثار الأوسع لتجربته.