1 Punkte von GN⁺ 2023-10-08 | 1 Kommentare | Auf WhatsApp teilen
  • Nutzerdaten des Gentest-Dienstes 23andMe wurden in Hacker-Foren gehandelt, und das Unternehmen führt die Ursache auf Credential-Stuffing-Angriffe ab, die auf wiederverwendete Passwörter abzielen
  • Die Angreifer verschafften sich mit Login-Daten aus anderen Sicherheitsvorfällen Zugriff auf 23andMe.com-Konten; bislang gebe es keine Anzeichen für eine Kompromittierung interner Systeme des Unternehmens
  • Zu den offengelegten Daten gehören Klarname, Benutzername, Profilbild, Geschlecht, Geburtsdatum, Ergebnisse zur genetischen Abstammung und geografischer Standort – also stark personenbezogene Informationen
  • Das erste Sample umfasste 1 Million Datensätze von aschkenasischen Personen; am 4. Oktober folgte ein Angebot zum Massenverkauf für 1 bis 10 US-Dollar pro Konto
  • Da Daten aus Konten mit aktivierter Funktion DNA Relatives abgeschöpft wurden, kann eine optionale soziale Funktion zu einem unerwarteten Weg für die Offenlegung personenbezogener Daten werden

23andMe-Daten in Hacker-Foren entdeckt

  • 23andMe hat bestätigt, dass Nutzerdaten seiner Plattform in Hacker-Foren gehandelt werden, und geht von einem Abfluss infolge eines Credential-Stuffing-Angriffs aus
  • Das Unternehmen ist ein US-Biotechnologie- und Genomikunternehmen, das Berichte zu Abstammung und genetischer Veranlagung anbietet, wenn Kunden Speichelproben an ein Labor senden
  • Ein Bedrohungsakteur veröffentlichte ein Datensample, das angeblich von einem Genetikunternehmen gestohlen wurde, und bot wenige Tage später Datenpakete von 23andMe-Kunden zum Verkauf an

Credential Stuffing und Stellungnahme des Unternehmens

  • Ein Sprecher von 23andMe bestätigte, dass die im Forum veröffentlichten Daten tatsächlich von 23andMe stammen
  • Nach bisherigem Kenntnisstand nutzten die Angreifer Zugangsdaten aus anderen Sicherheitsvorfällen, um auf 23andMe-Konten zuzugreifen und sensible Daten zu stehlen
  • Das Unternehmen erklärte, es gebe derzeit keine Anzeichen für einen Datensicherheitsvorfall innerhalb der eigenen Systeme
  • Erste Untersuchungen deuten darauf hin, dass von Nutzern auf mehreren Online-Plattformen wiederverwendete Login-Daten in anderen Vorfällen offengelegt und anschließend von den Angreifern gesammelt wurden

Umfang der offengelegten und verkauften Daten

  • Die zunächst veröffentlichten Daten waren begrenzt, doch der Bedrohungsakteur legte 1 Million Datensätze von aschkenasischen Personen offen
  • Am 4. Oktober bot er an, Datenprofile in großen Mengen für 1 bis 10 US-Dollar pro 23andMe-Konto zu verkaufen, abhängig von der Abnahmemenge
  • Zu den offengelegten Informationen gehören:
    • Vollständiger Name
    • Benutzername
    • Profilbild
    • Geschlecht
    • Geburtsdatum
    • Ergebnisse zur genetischen Abstammung
    • Geografischer Standort

Ausweitung über die Funktion DNA Relatives

  • Die Zahl der verkauften Konten entspricht nicht zwangsläufig genau der Zahl der 23andMe-Konten, die mit offengelegten Zugangsdaten kompromittiert wurden
  • Bei den kompromittierten Konten war die Funktion DNA Relatives aktiviert
  • DNA Relatives ist eine Funktion, mit der Nutzer genetische Verwandte finden und mit ihnen in Kontakt treten können
  • Nachdem die Angreifer Zugriff auf eine kleine Zahl von 23andMe-Konten erlangt hatten, scrapen sie die DNA-Relatives-Matching-Daten dieser Konten
  • Der Fall zeigt, dass die Teilnahme an bestimmten Funktionen zu einer unerwarteten Offenlegung personenbezogener Daten führen kann

Schutzmaßnahmen für Nutzer

  • 23andMe bietet zum Schutz von Konten eine Zwei-Faktor-Authentifizierung an und empfiehlt allen Nutzern, sie zu aktivieren
  • Hinweise dazu gibt es unter Adding 2-Step Verification to Your 23andMe Account
  • Nutzer sollten Passwortwiederverwendung vermeiden und für jedes Online-Konto starke, unterschiedliche Zugangsdaten verwenden

1 Kommentare

 
GN⁺ 2023-10-08
Meinungen auf Hacker News
  • Wenn ich das nicht falsch lese, hatte jemand offenbar bereits eine geleakte Datenbank mit E-Mail-Adressen/Passwörtern, hat sie bei 23andMe ausprobiert und, wenn der Login funktionierte, die zugänglichen Daten abgegriffen.
    Es stimmt, dass 23andMe sehr umfangreiche und persönliche Daten hat, aber so ein Angriff ist buchstäblich bei jeder Website möglich.
    Der Kern ist, dass Leute Passwörter wiederverwendet und auch Zwei-Faktor-Authentifizierung nicht aktiviert haben.
    Die zum Verkauf stehende Datenbank ist also nur eine Liste aus E-Mail/Passwort-Kombinationen aus anderen Leaks, die auch bei 23andMe funktioniert haben, plus der 23andMe-Daten, die in diesen Accounts lagen.
    Genau genommen ist das schwerlich als Einbruch bei 23andMe selbst zu sehen.

    • Selbst wenn das so ist, hätte 23andMe es besser verhindern müssen.
      Ich verstehe nicht, warum Logins von einer neuen IP-Adresse ohne zusätzliche Prüfung zugelassen wurden.
      Sie haben E-Mail-Adressen, also hätten sie mindestens eine E-Mail-basierte Zwei-Faktor-Authentifizierung machen können, und wie andere gesagt haben, hätte auch CAPTCHA den Angriff langsamer und teurer machen können.
      Wo ich arbeite, nutzen wir beides, deshalb ist dieser Angriff nicht „buchstäblich bei jeder Website möglich“.
      Dass ein etabliertes Unternehmen, noch dazu ein börsennotiertes, Credential Stuffing im Maßstab von Millionen Accounts zugelassen hat, ist beschämend.
    • Ich glaube nicht, dass man es so lesen sollte.
      Das Wichtigste, worauf die Leute Zugriff hatten, war das vollständige rohe DNA-Profil, und viele der Betroffenen wurden offengelegt, weil Personen, die der Funktion „Relatives“ zugestimmt hatten, sie exponierten, selbst wenn ihr eigenes Konto sicher gewesen wäre.
    • Man kann eine Frage stellen:
      Sollte erlaubt sein, dass „Zwei-Faktor-Authentifizierung ist deaktiviert“ neben „sehr umfangreichen und persönlichen Daten“ existiert?
    • Es stimmt, dass das kein ausgefeilter Angriff war.
      Enttäuschend ist, dass dieser Angriff in großem Maßstab gut funktioniert hat.
      Auf manchen Websites kann man solche Angriffe in großem Umfang ausführen, aber wenn man die passenden Kennzahlen auswählt, sie überwacht und Alarme einrichtet, ist das auf der Empfängerseite eine ziemlich laute Art von Vorfall.
      Sie sagten: „Derzeit gibt es keine Hinweise darauf, dass es in unseren Systemen einen Datensicherheitsvorfall gegeben hat“, aber wenn dieses System genutzt wurde, um Kundendaten zu extrahieren, und sie es erst bemerkten, nachdem Kundendaten verkauft wurden, sollten sie genau dort mit Verbesserungen anfangen.
      Weil die Veröffentlichung so spät kam, wirkt es auch möglich, dass sie es erst durch Presseanfragen erfahren haben.
    • Websites sollten Credential Stuffing abmildern, indem sie gegen bekannte geknackte Passwörter prüfen.
      Man kann Troy Hunts Datenbank gehashter Passwörter herunterladen, beim Login prüfen und Nutzer bei einem geleakten Passwort in den E-Mail-Passwort-Reset-Flow schicken.
      Oder man nutzt die API.
      Das ist sehr einfach und war meiner Ansicht nach seit etwa 2017 als Best Practice anerkannt.
      Das liegt zu 100 % in der Verantwortung von 23andMe.
      https://haveibeenpwned.com/Passwords
  • Ich frage mich, ob Unternehmen anfangen werden, „transitive Berechtigungen“ oder „Netzwerkberechtigungen“ ernsthaft neu zu prüfen.
    Das ist sehr ähnlich zu dem, was Facebook früher schwer getroffen hat.
    Ich hatte das Recht, alle Daten meiner Freunde zu sehen, und früher konnte ich mit einem einzigen Button jemandem, der danach fragte, nicht nur meine Informationen, sondern auch die Informationen meiner Freunde sichtbar machen.
    Aus Sicht der Informatik ergibt das Sinn: Wenn ich dir erlaube, alle meine Daten zu sehen, kann ich nicht mehr kontrollieren, mit wem du sie anschließend teilst.
    Aus menschlicher Sicht denken die meisten aber nicht, dass ich, wenn ich dir Zugriff gebe, damit faktisch der ganzen Welt Zugriff gebe.
    Solche Netzwerkberechtigungen machen die Unternehmen, die diese Daten haben, zu Hauptzielen.
    Denn ein Angreifer kann schon durch das Hacken weniger Accounts exponentiell mehr Daten erhalten.

    • Sieht man nicht alle Informationen des Freundes, sondern nur die Teilmenge, die dieser Freund geteilt hat?
      Also den Umfang, den der Verfasser so eingestellt hat, dass Freunde von Freunden ihn sehen können.
  • Laut diesem Tweet könnten die Hacker alle Daten erhalten, aber nur einen Teil davon geleakt haben, nämlich 1,3 Millionen Datensätze.
    Dieser Teil soll Daten aschkenasischer Juden gewesen sein.
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Falls das stimmt, erklärt es, warum aus einer kleinen Zahl kompromittierter Accounts so viele Daten gewonnen wurden.
      Aschkenasische Juden waren im Vergleich zum Rest Europas genetisch relativ isoliert und gingen von einer vergleichsweise kleinen Gründerpopulation aus.
      Deshalb werden sie nach Standardmetriken genetisch als entfernte Verwandte voneinander erkannt.
      Das heißt: Ein typischer aschkenasisch-jüdischer 23andMe-Kunde bekommt wohl viel mehr Verwandte angezeigt als andere Kunden und konnte entsprechend mehr Profile sehen.
    • Ich bin 23andMe-Nutzer und habe einen recht hohen aschkenasischen Anteil, deshalb hatte ich erwartet, dass auch meine Daten geleakt wurden, aber sie waren nicht dabei.
      Daher ist es wahrscheinlich nicht der gesamte aschkenasische Datensatz.
    • In diesem Tweet gibt es keinerlei Beleg dafür, dass es mehr war als die Nutzung wiederverwendeter Passwörter.
      Auch keinen Beleg dafür, dass es alle Daten waren.
    • Selbst wenn ich hundert Jahre alt werde, werde ich wohl nicht verstehen, warum Menschen so auf Juden fixiert sind.
    • Schon wieder Neonazi-Terror, die 2020er sind wirklich toll /s
  • Ich halte es zwar für eine interessante Idee, aber genau aus diesem Grund habe ich solche Gentests immer abgelehnt.

    • Nicht nur das: Man muss auch dafür sorgen, dass alle Verwandten keinen Test machen.
    • Ich erinnere mich an einen Witz aus den Simpsons, in dem Homer erfährt, dass die Regierung die DNA aller Menschen in einer Akte hat, und fragt, worauf sinngemäß geantwortet wird: „Jeder, der seit 1932 einen Penny berührt hat.“
      Wie sich herausstellte, musste es gar nicht so kompliziert sein; man musste die Leute einfach dazu bringen, sie selbst per Post einzuschicken ;)
    • Geht mir genauso, und ich wünschte, es gäbe Regulierung zum Schutz dieser Daten.
      Allerdings sieht es so aus, als wäre das Kind schon in den Brunnen gefallen.
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • Kann man das nicht einfach unter falschem Namen machen?
    • Geht mir auch so.
      Ich glaube nicht, dass ich solche Dienste in Zukunft nutzen werde.
  • Ich habe es inzwischen mehrfach gesagt, aber bis es strafrechtliche Verantwortung für fahrlässige Datenaufbewahrung und -sicherung gibt, wird so etwas weiter passieren.
    Unternehmen ist das egal, und egal, was sie in der PR sagen: Es wird ihnen egal bleiben, bis sie selbst unmittelbar gefährdet sind.
    Nach jedem Breach wiederholen sie wie British Petroleum „Es tut uns wirklich leid“ und kaufen den Leuten LifeLock oder so.
    Völliger Unsinn.

    • Ich verstehe nicht, warum 23andMe strafrechtlich haften sollte.
      Dem Artikel zufolge wurde nicht das Unternehmen kompromittiert, sondern nur einzelne Accounts, die wiederverwendete Zugangsdaten nutzten, die bei anderen Breaches offengelegt worden waren.
      Zwei-Faktor-Authentifizierung hätte es geben sollen, aber ich finde nicht, dass das Fehlen von Zwei-Faktor-Authentifizierung kriminalisiert werden sollte.
  • Ich bin auf die Seite gegangen, die im Screenshot zu sehen war, und dort verkaufte jemand angebliche NATO-Leaks von einem Besuch auf den Philippinen, darunter „PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT usw.“.
    Es gab auch noch eine Liste mit ukrainischen Bürgerdatenbanken aus dem Jahr 2023.
    CIA, bitte bringt mich nicht um! Ich schwöre, ich habe das nur zufällig gesehen.
    Wie auch immer, ich sollte wieder arbeiten.

    • Welche Seite ist das?
  • 75.000 Dollar.
    So zeigt man, dass die Regierung Privatsphäre nicht ernst nimmt, ohne es auszusprechen.
    Vor drei Wochen stimmte das Gentest-Unternehmen 1Health.io zu, 75.000 Dollar Strafe an die FTC zu zahlen, um Vorwürfe beizulegen, es habe sensible genetische und Gesundheitsdaten nicht angemessen geschützt, seine Datenschutzrichtlinie rückwirkend geändert, ohne Kunden, deren Daten es erhalten hatte, zu benachrichtigen oder deren Zustimmung einzuholen, und Kunden darüber getäuscht, dass sie ihre Daten löschen könnten.

    • Allein der narzisstische Spruch „welcome to you“ auf der Verpackung bringt mich schon zum Würgen, und dafür sind es gerade mal 75.000 Dollar.
      Ich hoffe, die Firma bricht komplett zusammen.
    • Die monströsen Folgen, die Leute oft anführen, wenn solche Daten durchsickern, sind in der Realität nicht zu sehen.
      Es gibt keine verbotene Genforschung, die betrieben wird, keine steigenden Versicherungsprämien, und wegen dieser Informationen findet auch keine ethnische Säuberung statt.
      Es wird ein paar Fälle von Identitätsdiebstahl und Bankbetrug geben, aber im Großen und Ganzen können die bestehenden Systeme damit umgehen.
      Am anderen Ende wird es abgefangen.
      Wenn man hohe Strafen will, muss man großen Schaden nachweisen.
    • Wie immer läuft der Kapitalismus verkehrt herum.
      Wenn man Privatsphäre wirklich ernst nähme, sollte man 75.000 Dollar bereitstellen, damit sie das Problem beheben.
      Wenn man dem Engineering-Budget 75.000 Dollar wegnimmt, können sie weniger tun, und es werden noch mehr Daten durchsickern.
  • Was die Auswirkungen auf die Privatsphäre angeht, wenn man seine DNA „zum Spaß“ sequenzieren lässt: 23andMe arbeitet bereits mit Strafverfolgungsbehörden zusammen.
    Die Datenwissenschaft ist inzwischen gut genug, dass meine Identität abgeschätzt werden kann, selbst wenn ich selbst nie eine DNA-Probe abgegeben habe, sofern ein Cousin dritten Grades von mir eine Probe eingereicht hat.
    Ein durchschnittlicher Mensch hat etwa 200 Cousins dritten Grades.

    • Kannst du genauer erklären, wie das funktioniert?
      Sagen wir, einer meiner 200 Cousins dritten Grades hat den 23andMe-Abstrich gemacht, und danach habe ich vielleicht auf der anderen Seite des Landes ein Verbrechen begangen.
      Die Strafverfolgungsbehörden haben DNA-Spuren gesichert.
      Was passiert jetzt?
    • Können Strafverfolgungsbehörden mit der entnommenen DNA eine Anfrage an die 23andMe-Datenbank stellen?
  • Soweit ich weiß, gibt es Genealogie-Dienste, die Leeds-Collins-Charts erstellen, und die funktionieren so, dass sie Nutzer nach ihren 23andMe-Zugangsdaten fragen.
    Ähnlich wie manche Drittanbieter-Bankdienste Nutzer direkt nach ihren Bank-Zugangsdaten fragen.
    In diesem Bereich gibt es wirklich viele schlechte Sicherheitspraktiken.

    • Eine Zeit lang gab es eine OAuth2-API von 23andMe, die SNPs als OAuth-Scopes bereitstellte; vor diesem Hintergrund ist das noch bedauerlicher.
  • Vielleicht kann 23andMe mir das Passwort für den Account meines Vaters schicken, den wir vor ein paar Jahren verloren haben und zu dem es inzwischen nicht einmal mehr die E-Mail-Adresse gibt.

    • Du könntest die E-Mail auf https://haveibeenpwned.com/ nachschlagen.
      Wenn sie dort auftaucht, haben sie vielleicht auch das Passwort.