23andMe meldet: Nutzerdaten bei Credential-Stuffing-Angriff gestohlen

 (bleepingcomputer.com)
1 Punkte von GN⁺ 2023-10-08 | 1 Kommentare | Auf WhatsApp teilen
  • Das US-amerikanische Biotechnologie- und Genomikunternehmen 23andMe hat einen Datenvorfall im Zusammenhang mit Nutzerdaten auf seiner Plattform bestätigt.
  • Das Unternehmen führt den Vorfall auf einen Credential-Stuffing-Angriff zurück.
  • Der anfängliche Datenabfluss war begrenzt, und der Bedrohungsakteur veröffentlichte 1 Million Datensätze zu Personen aschkenasischer Herkunft.
  • Der Bedrohungsakteur bot später an, Datenprofile in großen Mengen für 1 bis 10 US-Dollar pro 23andMe-Konto zu verkaufen.
  • Zu den offengelegten Daten gehören vollständige Namen, Benutzernamen, Profilfotos, Geschlecht, Geburtsjahr, Ergebnisse zur genetischen Abstammung und geografische Standorte.
  • Die kompromittierten Konten nahmen an der Funktion "DNA-Verwandte" der Plattform teil, mit der Nutzer genetische Verwandte finden und mit ihnen in Kontakt treten können.
  • Nachdem der Bedrohungsakteur Zugriff auf eine kleine Zahl von 23andMe-Konten erlangt hatte, wurden deren Daten zu DNA-Verwandtschaftstreffern abgeschöpft.
  • 23andMe erklärte, dass die bei diesen Zugriffsversuchen verwendeten Anmeldedaten aus Datenlecks bei anderen Online-Plattformen stammen könnten, auf denen Nutzer dieselben Zugangsdaten wiederverwendet hatten.
  • Das Unternehmen bietet als zusätzliche Schutzmaßnahme für Konten Zwei-Faktor-Authentifizierung an und empfiehlt allen Nutzern, sie zu aktivieren.
  • Nutzern wird geraten, keine Passwörter wiederzuverwenden und für alle Online-Konten konsequent starke und einzigartige Zugangsdaten zu verwenden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-08
Hacker-News-Kommentare
  • Der Diebstahl von Nutzerdaten bei 23andMe war auf eine Credential-Stuffing-Attacke zurückzuführen, bei der bereits geleakte E-Mail-/Passwort-Datenbanken für den Zugriff auf die Website verwendet wurden.
  • Das Problem entstand dadurch, dass Menschen Passwörter wiederverwenden und keine Zwei-Faktor-Authentifizierung aktivieren.
  • Die zum Verkauf stehenden Daten umfassen E-Mail-/Passwort-Kombinationen aus einem anderen Einbruch, die bei 23andMe funktionierten, sowie die Daten, die 23andMe über diese Nutzer gespeichert hatte.
  • Der Vorfall hat Sorgen über „transitive Berechtigungen“ oder „Netzwerkberechtigungen“ ausgelöst. Das bedeutet, dass der Zugriff auf eine Person auch Zugriff auf andere Personen ermöglichen kann.
  • Einige Nutzer meiden wegen dieser Sicherheitsbedenken genetische Tests.
  • Es gibt Spekulationen, dass Hacker zwar auf alle Daten zugreifen konnten, aber möglicherweise nur 1,3 Millionen Datensätze aschkenasischer Juden geleakt haben.
  • Einige Nutzer glauben, dass solche Verstöße weiter vorkommen werden, bis es strafrechtliche Verantwortung für fahrlässige Datenspeicherung bzw. unzureichenden Datenschutz gibt.
  • Die Zusammenarbeit von 23andMe mit Strafverfolgungsbehörden und die Fähigkeit, Personen anhand der DNA-Probe eines Cousins dritten Grades zu identifizieren, schüren Bedenken hinsichtlich des Datenschutzes.
  • Dass das Gentest-Unternehmen 1Health.io der FTC nur 75.000 US-Dollar Strafe dafür zahlte, sensible Daten nicht geschützt zu haben, wird als Beleg dafür gesehen, dass der Staat den Schutz der Privatsphäre nicht ernst genug nimmt.
  • Berichten zufolge verlangen einige Ahnenforschungsdienste von Nutzern ihre 23andMe-Zugangsdaten, was auf schwache Sicherheit in diesem Sektor hindeutet.
  • Der Vorfall hat Kritik daran ausgelöst, dass Menschen ihre genetischen Informationen privaten Unternehmen anvertrauen.