23andMe bestätigt Diebstahl von Nutzerdaten durch Credential Stuffing
(bleepingcomputer.com)- Nutzerdaten des Gentest-Dienstes 23andMe wurden in Hacker-Foren gehandelt, und das Unternehmen führt die Ursache auf Credential-Stuffing-Angriffe ab, die auf wiederverwendete Passwörter abzielen
- Die Angreifer verschafften sich mit Login-Daten aus anderen Sicherheitsvorfällen Zugriff auf 23andMe.com-Konten; bislang gebe es keine Anzeichen für eine Kompromittierung interner Systeme des Unternehmens
- Zu den offengelegten Daten gehören Klarname, Benutzername, Profilbild, Geschlecht, Geburtsdatum, Ergebnisse zur genetischen Abstammung und geografischer Standort – also stark personenbezogene Informationen
- Das erste Sample umfasste 1 Million Datensätze von aschkenasischen Personen; am 4. Oktober folgte ein Angebot zum Massenverkauf für 1 bis 10 US-Dollar pro Konto
- Da Daten aus Konten mit aktivierter Funktion DNA Relatives abgeschöpft wurden, kann eine optionale soziale Funktion zu einem unerwarteten Weg für die Offenlegung personenbezogener Daten werden
23andMe-Daten in Hacker-Foren entdeckt
- 23andMe hat bestätigt, dass Nutzerdaten seiner Plattform in Hacker-Foren gehandelt werden, und geht von einem Abfluss infolge eines Credential-Stuffing-Angriffs aus
- Das Unternehmen ist ein US-Biotechnologie- und Genomikunternehmen, das Berichte zu Abstammung und genetischer Veranlagung anbietet, wenn Kunden Speichelproben an ein Labor senden
- Ein Bedrohungsakteur veröffentlichte ein Datensample, das angeblich von einem Genetikunternehmen gestohlen wurde, und bot wenige Tage später Datenpakete von 23andMe-Kunden zum Verkauf an
Credential Stuffing und Stellungnahme des Unternehmens
- Ein Sprecher von 23andMe bestätigte, dass die im Forum veröffentlichten Daten tatsächlich von 23andMe stammen
- Nach bisherigem Kenntnisstand nutzten die Angreifer Zugangsdaten aus anderen Sicherheitsvorfällen, um auf 23andMe-Konten zuzugreifen und sensible Daten zu stehlen
- Das Unternehmen erklärte, es gebe derzeit keine Anzeichen für einen Datensicherheitsvorfall innerhalb der eigenen Systeme
- Erste Untersuchungen deuten darauf hin, dass von Nutzern auf mehreren Online-Plattformen wiederverwendete Login-Daten in anderen Vorfällen offengelegt und anschließend von den Angreifern gesammelt wurden
Umfang der offengelegten und verkauften Daten
- Die zunächst veröffentlichten Daten waren begrenzt, doch der Bedrohungsakteur legte 1 Million Datensätze von aschkenasischen Personen offen
- Am 4. Oktober bot er an, Datenprofile in großen Mengen für 1 bis 10 US-Dollar pro 23andMe-Konto zu verkaufen, abhängig von der Abnahmemenge
- Zu den offengelegten Informationen gehören:
- Vollständiger Name
- Benutzername
- Profilbild
- Geschlecht
- Geburtsdatum
- Ergebnisse zur genetischen Abstammung
- Geografischer Standort
Ausweitung über die Funktion DNA Relatives
- Die Zahl der verkauften Konten entspricht nicht zwangsläufig genau der Zahl der 23andMe-Konten, die mit offengelegten Zugangsdaten kompromittiert wurden
- Bei den kompromittierten Konten war die Funktion DNA Relatives aktiviert
- DNA Relatives ist eine Funktion, mit der Nutzer genetische Verwandte finden und mit ihnen in Kontakt treten können
- Nachdem die Angreifer Zugriff auf eine kleine Zahl von 23andMe-Konten erlangt hatten, scrapen sie die DNA-Relatives-Matching-Daten dieser Konten
- Der Fall zeigt, dass die Teilnahme an bestimmten Funktionen zu einer unerwarteten Offenlegung personenbezogener Daten führen kann
Schutzmaßnahmen für Nutzer
- 23andMe bietet zum Schutz von Konten eine Zwei-Faktor-Authentifizierung an und empfiehlt allen Nutzern, sie zu aktivieren
- Hinweise dazu gibt es unter Adding 2-Step Verification to Your 23andMe Account
- Nutzer sollten Passwortwiederverwendung vermeiden und für jedes Online-Konto starke, unterschiedliche Zugangsdaten verwenden
1 Kommentare
Meinungen auf Hacker News
Wenn ich das nicht falsch lese, hatte jemand offenbar bereits eine geleakte Datenbank mit E-Mail-Adressen/Passwörtern, hat sie bei 23andMe ausprobiert und, wenn der Login funktionierte, die zugänglichen Daten abgegriffen.
Es stimmt, dass 23andMe sehr umfangreiche und persönliche Daten hat, aber so ein Angriff ist buchstäblich bei jeder Website möglich.
Der Kern ist, dass Leute Passwörter wiederverwendet und auch Zwei-Faktor-Authentifizierung nicht aktiviert haben.
Die zum Verkauf stehende Datenbank ist also nur eine Liste aus E-Mail/Passwort-Kombinationen aus anderen Leaks, die auch bei 23andMe funktioniert haben, plus der 23andMe-Daten, die in diesen Accounts lagen.
Genau genommen ist das schwerlich als Einbruch bei 23andMe selbst zu sehen.
Ich verstehe nicht, warum Logins von einer neuen IP-Adresse ohne zusätzliche Prüfung zugelassen wurden.
Sie haben E-Mail-Adressen, also hätten sie mindestens eine E-Mail-basierte Zwei-Faktor-Authentifizierung machen können, und wie andere gesagt haben, hätte auch CAPTCHA den Angriff langsamer und teurer machen können.
Wo ich arbeite, nutzen wir beides, deshalb ist dieser Angriff nicht „buchstäblich bei jeder Website möglich“.
Dass ein etabliertes Unternehmen, noch dazu ein börsennotiertes, Credential Stuffing im Maßstab von Millionen Accounts zugelassen hat, ist beschämend.
Das Wichtigste, worauf die Leute Zugriff hatten, war das vollständige rohe DNA-Profil, und viele der Betroffenen wurden offengelegt, weil Personen, die der Funktion „Relatives“ zugestimmt hatten, sie exponierten, selbst wenn ihr eigenes Konto sicher gewesen wäre.
Sollte erlaubt sein, dass „Zwei-Faktor-Authentifizierung ist deaktiviert“ neben „sehr umfangreichen und persönlichen Daten“ existiert?
Enttäuschend ist, dass dieser Angriff in großem Maßstab gut funktioniert hat.
Auf manchen Websites kann man solche Angriffe in großem Umfang ausführen, aber wenn man die passenden Kennzahlen auswählt, sie überwacht und Alarme einrichtet, ist das auf der Empfängerseite eine ziemlich laute Art von Vorfall.
Sie sagten: „Derzeit gibt es keine Hinweise darauf, dass es in unseren Systemen einen Datensicherheitsvorfall gegeben hat“, aber wenn dieses System genutzt wurde, um Kundendaten zu extrahieren, und sie es erst bemerkten, nachdem Kundendaten verkauft wurden, sollten sie genau dort mit Verbesserungen anfangen.
Weil die Veröffentlichung so spät kam, wirkt es auch möglich, dass sie es erst durch Presseanfragen erfahren haben.
Man kann Troy Hunts Datenbank gehashter Passwörter herunterladen, beim Login prüfen und Nutzer bei einem geleakten Passwort in den E-Mail-Passwort-Reset-Flow schicken.
Oder man nutzt die API.
Das ist sehr einfach und war meiner Ansicht nach seit etwa 2017 als Best Practice anerkannt.
Das liegt zu 100 % in der Verantwortung von 23andMe.
https://haveibeenpwned.com/Passwords
Ich frage mich, ob Unternehmen anfangen werden, „transitive Berechtigungen“ oder „Netzwerkberechtigungen“ ernsthaft neu zu prüfen.
Das ist sehr ähnlich zu dem, was Facebook früher schwer getroffen hat.
Ich hatte das Recht, alle Daten meiner Freunde zu sehen, und früher konnte ich mit einem einzigen Button jemandem, der danach fragte, nicht nur meine Informationen, sondern auch die Informationen meiner Freunde sichtbar machen.
Aus Sicht der Informatik ergibt das Sinn: Wenn ich dir erlaube, alle meine Daten zu sehen, kann ich nicht mehr kontrollieren, mit wem du sie anschließend teilst.
Aus menschlicher Sicht denken die meisten aber nicht, dass ich, wenn ich dir Zugriff gebe, damit faktisch der ganzen Welt Zugriff gebe.
Solche Netzwerkberechtigungen machen die Unternehmen, die diese Daten haben, zu Hauptzielen.
Denn ein Angreifer kann schon durch das Hacken weniger Accounts exponentiell mehr Daten erhalten.
Also den Umfang, den der Verfasser so eingestellt hat, dass Freunde von Freunden ihn sehen können.
Laut diesem Tweet könnten die Hacker alle Daten erhalten, aber nur einen Teil davon geleakt haben, nämlich 1,3 Millionen Datensätze.
Dieser Teil soll Daten aschkenasischer Juden gewesen sein.
https://x.com/mattjay/status/1710370423311888724?s=20
Aschkenasische Juden waren im Vergleich zum Rest Europas genetisch relativ isoliert und gingen von einer vergleichsweise kleinen Gründerpopulation aus.
Deshalb werden sie nach Standardmetriken genetisch als entfernte Verwandte voneinander erkannt.
Das heißt: Ein typischer aschkenasisch-jüdischer 23andMe-Kunde bekommt wohl viel mehr Verwandte angezeigt als andere Kunden und konnte entsprechend mehr Profile sehen.
Daher ist es wahrscheinlich nicht der gesamte aschkenasische Datensatz.
Auch keinen Beleg dafür, dass es alle Daten waren.
Ich halte es zwar für eine interessante Idee, aber genau aus diesem Grund habe ich solche Gentests immer abgelehnt.
Wie sich herausstellte, musste es gar nicht so kompliziert sein; man musste die Leute einfach dazu bringen, sie selbst per Post einzuschicken ;)
Allerdings sieht es so aus, als wäre das Kind schon in den Brunnen gefallen.
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Ich glaube nicht, dass ich solche Dienste in Zukunft nutzen werde.
Ich habe es inzwischen mehrfach gesagt, aber bis es strafrechtliche Verantwortung für fahrlässige Datenaufbewahrung und -sicherung gibt, wird so etwas weiter passieren.
Unternehmen ist das egal, und egal, was sie in der PR sagen: Es wird ihnen egal bleiben, bis sie selbst unmittelbar gefährdet sind.
Nach jedem Breach wiederholen sie wie British Petroleum „Es tut uns wirklich leid“ und kaufen den Leuten LifeLock oder so.
Völliger Unsinn.
Dem Artikel zufolge wurde nicht das Unternehmen kompromittiert, sondern nur einzelne Accounts, die wiederverwendete Zugangsdaten nutzten, die bei anderen Breaches offengelegt worden waren.
Zwei-Faktor-Authentifizierung hätte es geben sollen, aber ich finde nicht, dass das Fehlen von Zwei-Faktor-Authentifizierung kriminalisiert werden sollte.
Ich bin auf die Seite gegangen, die im Screenshot zu sehen war, und dort verkaufte jemand angebliche NATO-Leaks von einem Besuch auf den Philippinen, darunter „PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT usw.“.
Es gab auch noch eine Liste mit ukrainischen Bürgerdatenbanken aus dem Jahr 2023.
CIA, bitte bringt mich nicht um! Ich schwöre, ich habe das nur zufällig gesehen.
Wie auch immer, ich sollte wieder arbeiten.
75.000 Dollar.
So zeigt man, dass die Regierung Privatsphäre nicht ernst nimmt, ohne es auszusprechen.
Vor drei Wochen stimmte das Gentest-Unternehmen 1Health.io zu, 75.000 Dollar Strafe an die FTC zu zahlen, um Vorwürfe beizulegen, es habe sensible genetische und Gesundheitsdaten nicht angemessen geschützt, seine Datenschutzrichtlinie rückwirkend geändert, ohne Kunden, deren Daten es erhalten hatte, zu benachrichtigen oder deren Zustimmung einzuholen, und Kunden darüber getäuscht, dass sie ihre Daten löschen könnten.
Ich hoffe, die Firma bricht komplett zusammen.
Es gibt keine verbotene Genforschung, die betrieben wird, keine steigenden Versicherungsprämien, und wegen dieser Informationen findet auch keine ethnische Säuberung statt.
Es wird ein paar Fälle von Identitätsdiebstahl und Bankbetrug geben, aber im Großen und Ganzen können die bestehenden Systeme damit umgehen.
Am anderen Ende wird es abgefangen.
Wenn man hohe Strafen will, muss man großen Schaden nachweisen.
Wenn man Privatsphäre wirklich ernst nähme, sollte man 75.000 Dollar bereitstellen, damit sie das Problem beheben.
Wenn man dem Engineering-Budget 75.000 Dollar wegnimmt, können sie weniger tun, und es werden noch mehr Daten durchsickern.
Was die Auswirkungen auf die Privatsphäre angeht, wenn man seine DNA „zum Spaß“ sequenzieren lässt: 23andMe arbeitet bereits mit Strafverfolgungsbehörden zusammen.
Die Datenwissenschaft ist inzwischen gut genug, dass meine Identität abgeschätzt werden kann, selbst wenn ich selbst nie eine DNA-Probe abgegeben habe, sofern ein Cousin dritten Grades von mir eine Probe eingereicht hat.
Ein durchschnittlicher Mensch hat etwa 200 Cousins dritten Grades.
Sagen wir, einer meiner 200 Cousins dritten Grades hat den 23andMe-Abstrich gemacht, und danach habe ich vielleicht auf der anderen Seite des Landes ein Verbrechen begangen.
Die Strafverfolgungsbehörden haben DNA-Spuren gesichert.
Was passiert jetzt?
Soweit ich weiß, gibt es Genealogie-Dienste, die Leeds-Collins-Charts erstellen, und die funktionieren so, dass sie Nutzer nach ihren 23andMe-Zugangsdaten fragen.
Ähnlich wie manche Drittanbieter-Bankdienste Nutzer direkt nach ihren Bank-Zugangsdaten fragen.
In diesem Bereich gibt es wirklich viele schlechte Sicherheitspraktiken.
Vielleicht kann 23andMe mir das Passwort für den Account meines Vaters schicken, den wir vor ein paar Jahren verloren haben und zu dem es inzwischen nicht einmal mehr die E-Mail-Adresse gibt.
Wenn sie dort auftaucht, haben sie vielleicht auch das Passwort.