1 Punkte von GN⁺ 2023-10-19 | 1 Kommentare | Auf WhatsApp teilen
  • Zwei Wochen nachdem der Datenabfluss bei 23andMe erstmals bekannt wurde, veröffentlichte derselbe Hacker auf BreachForums einen neuen Datensatz mit 4 Millionen Personen
  • Der Hacker namens Golem behauptet, der neue Datensatz enthalte Nutzer aus Great Britain sowie Informationen über „die wohlhabendsten Menschen in den USA und Westeuropa“
  • TechCrunch bestätigte, dass ein Teil der neu geleakten Daten mit öffentlich gemachten 23andMe-Nutzer- und Geninformationen übereinstimmt
  • 23andMe prüft nach Bekanntwerden des neuen Leaks die Echtheit der Daten und hatte Nutzer zuvor aufgefordert, Passwörter zu ändern und Multi-Faktor-Authentifizierung zu aktivieren
  • Die tatsächliche Methode des Eindringens, das vollständige Ausmaß des Leaks und der Zweck der Nutzung der gestohlenen Daten sind noch nicht bestätigt, sodass für 23andMe-Nutzer weitere Risiken bestehen

Weitere auf BreachForums veröffentlichte Daten

  • Ein Hacker namens Golem veröffentlichte im Cybercrime-Forum BreachForums einen neuen Datensatz mit 4 Millionen 23andMe-Nutzerinformationen
  • Es handelt sich um dieselbe Person, die bereits vor zwei Wochen ein Paket mit Nutzerdaten geleakt hatte, die von dem Gentest-Unternehmen 23andMe gestohlen worden waren
  • TechCrunch bestätigte, dass ein Teil der neu geleakten Daten mit öffentlich gemachten 23andMe-Nutzer- und Geninformationen übereinstimmt
  • Golem behauptet, der Datensatz enthalte Informationen über Personen aus Great Britain
    • Die Liste enthalte außerdem Daten über „die wohlhabendsten Menschen in den USA und Westeuropa“, so die Behauptung
  • 23andMe-Sprecher Andy Kill erklärte, das Unternehmen habe den neuen Leak zur Kenntnis genommen und prüfe, ob es sich tatsächlich um 23andMe-Daten handelt

Erklärung von 23andMe zum Vorfall und Maßnahmen zur Kontosicherheit

  • 23andMe gab am 6. Oktober bekannt, dass ein Hacker an einige Nutzerdaten gelangt sei, und erklärte, der Hacker habe Credential Stuffing eingesetzt
    • Credential Stuffing ist eine Technik, bei der Kombinationen aus Nutzernamen bzw. E-Mail-Adressen und Passwörtern ausprobiert werden, die bereits bei anderen Datenlecks öffentlich geworden sind
  • Als Reaktion auf den Vorfall forderte 23andMe die Nutzer zur Änderung ihrer Passwörter auf und empfahl, Multi-Faktor-Authentifizierung zu aktivieren
  • Laut der offiziellen Seite zur Vorfallsreaktion nahm 23andMe mit Unterstützung „externer forensischer Experten“ eine Untersuchung auf
  • Das Unternehmen nannte die Wiederverwendung von Passwörtern durch Kunden und die optionale Funktion DNA Relatives als Ursache des Vorfalls
    • DNA Relatives ist eine Funktion, mit der sich Daten anderer Nutzer einsehen lassen, die freiwillig teilnehmen und deren genetische Daten übereinstimmen
    • Ist diese Funktion aktiviert, kann ein Hacker nach dem Eindringen in ein einzelnes Konto Daten mehrerer Nutzer scrapen

Noch offene Fragen

  • Unklar ist, ob der Hacker tatsächlich Credential Stuffing verwendet oder eine andere Technik eingesetzt hat
  • Die Gesamtmenge der gestohlenen Nutzerdaten ist noch nicht bekannt
  • Auch wie der Hacker die Daten verwenden will, ist nicht bestätigt
  • Der Vorfall könnte bereits vor Monaten durchgeführt worden oder zumindest begonnen haben
    • Am 11. August bot ein Hacker in einem anderen Cybercrime-Forum namens Hydra einen Datensatz mit 23andMe-Nutzerdaten an
    • Laut einer Analyse von TechCrunch stimmt dieser Datensatz mit einem Teil der vor zwei Wochen geleakten Nutzerdatensätze überein
    • Der Hacker auf Hydra behauptete, 300 TB an 23andMe-Nutzerdaten zu besitzen, lieferte dafür aber keine Belege
  • Bislang ist das gesamte Ausmaß des Datenlecks nicht klar, und auch 23andMe scheint noch nicht ermittelt zu haben, wie viele Daten entwendet wurden

1 Kommentare

 
GN⁺ 2023-10-19
Meinungen auf Hacker News
  • Dass 23andMe die Wiederverwendung von Passwörtern durch Kunden und die optionale Funktion DNA Relatives verantwortlich macht, mit der man Daten anderer genetisch übereinstimmender Teilnehmer sehen kann, lenkt vom Kernproblem ab.
    Die Freigabeoptionen von DNA Relatives sind nicht fein genug abgestuft und bestehen im Grunde nur aus etwa zwei Stufen, was nicht ausreicht.
    Außerdem begrenzt 23andMe die Anzeige auf bis zu 1.500 der nächsten Verwandten unter den Personen, die an DNA Relatives teilnehmen. Bei dieser Struktur hätte ein Hacker schon mit der Übernahme einiger tausend Konten aus dem Großteil der Datenbank Haplogruppen, Vorhersagen zur ethnischen Herkunft, Namen, Profile, Verwandtenlisten und Informationen zur geografischen Herkunft sammeln können.
    Diese Grenze von 1.500 Personen hilft theoretisch, aber offenbar konnte man in letzter Zeit auch Profile über diesen Bereich hinaus sehen; ob das Teil der Ausnutzungsmethode war, ist unklar.

    • Auf der „DNA Relatives“-Seite von 23andMe steht: „Wenn Sie sich dafür entscheiden, an der Funktion DNA Relatives teilzunehmen, stehen Ihnen mehrere Datenschutzoptionen zur Verfügung, die auf Ihre persönlichen Präferenzen zugeschnitten sind. Für vollständige Privatsphäre können Sie DNA Relatives vollständig verlassen.“
      Wenn man austreten muss, um vollständige Privatsphäre zu erhalten, verstehe ich nicht, wie das eine Opt-in-Funktion sein soll.
      Unklar ist auch, was hier mit vollständiger Privatsphäre gemeint ist und wie sie sich von Privatsphäre unterscheidet, die man vernünftigerweise erwarten kann.
      Die Behauptung des Unternehmens, diese Funktion sei Opt-in, ergibt für mich keinen Sinn.
    • Ein wirklich miserables Unternehmen. Die Verantwortung für den Schutz der gespeicherten Daten liegt nicht bei den Nutzern, sondern vollständig beim Unternehmen.
      Wenn Nutzer Passwörter wiederverwendet haben, kann das zwar die Ursache dafür sein, dass ein einzelnes Konto kompromittiert wurde, aber ein Unternehmen hätte den Schaden leicht eindämmen können, damit er sich nicht ausweitet.
    • Ich verstehe nicht, warum nicht mehr Unternehmen vernünftiges Request-Limiting und Missbrauchserkennung implementieren.
      Es sollte nicht möglich sein, allein mit einer Gruppe gehackter Konten Daten von Millionen Menschen abzugreifen.
    • Punkt 2 sieht der Methode, mit der Cambridge Analytica Facebook-Daten massenhaft abgegriffen hat, sehr ähnlich.
      Ich frage mich, ob die CEO von 23andMe in den nächsten zehn Jahren ebenfalls ständig vor den Kongress gezerrt wird.
    • Am Ende ist es einfach ein DNA-basiertes soziales Netzwerk.
  • 23andMe genutzt zu haben, ist einer der größten Fehler meines Lebens. Ich habe es gemacht, bevor ich auf Privatsphäre geachtet habe, weil es bei Amazon im Angebot war.
    Selbst wenn ich die Löschung beantrage, habe ich keinerlei Vertrauen, dass meine Daten tatsächlich gelöscht werden; und selbst wenn sie gelöscht werden, weiß ich nicht, ob diese Daten nicht schon irgendwo in einem Modell oder einer Studie weiterleben.
    Ein Teil von mir will gar nicht wissen, ob meine Daten in diesem Leak enthalten sind. Das fühlt sich anders an als ein Leak von Kreditkarten- oder Einkaufsdaten.
    Noch schlimmer ist, dass ich mich lange nicht bei 23andMe eingeloggt habe und es wahrscheinlich aus der Zeit stammt, bevor ich auf gute Passwortsicherheit geachtet habe; es wäre also nicht überraschend.

    • Vielleicht ist es gar nicht so wichtig. Genetische Matching-Modelle sind so primitiv, dass diese Daten nicht besonders viel Wert haben.
      Facebook und Google haben ein viel genaueres Bild, das sie zur Manipulation von Menschen nutzen können, und 23andMe ist nicht mehr als eine Kuriosität.
      Meine Daten sind wahrscheinlich auch in diesem Leak, aber ich werde keine Sekunde meines Lebens damit verschwenden, das zu bereuen.
      Man kann höchstens abwarten, ob bei der Sammelklage etwas herausspringt. Wenn man wie beim Experian-Hack einen jämmerlich kleinen Scheck per Post bekommt, hat man wenigstens etwas, das man auf den Couchtisch legen kann.
    • Ich war ebenfalls neugierig und habe einen der großen Dienste genutzt; der dürfte inzwischen vermutlich auch gehackt worden sein.
      Allerdings habe ich mich unter einem Pseudonym registriert, das Testkit meinem Vater gegeben und auch eine Tante testen lassen.
      Es war nicht exakt, aber gut genug, um die Neugier zu befriedigen.
      Letztlich wird alles irgendwann gehackt. Wie ein bekannter Hacker einmal sagte, sollte man davon ausgehen, dass alles, was man sagt oder schreibt, irgendwann öffentliche Information wird.
      Ergänzend: Es wird sicher Leute geben, die fragen: „Wie kannst du deinem Vater so etwas antun?“, aber wer ihn kennt, würde es verstehen. Er lebt fast off-grid und wird bald sterben; meine Tante ist bereits verstorben.
    • Wenn mit „dass diese Daten in irgendeinem Modell oder einer Studie weiterleben“ Dinge wie Arzneimittelentwicklung oder medizinische Forschung gemeint sind, verstehe ich nicht, warum das etwas Schlechtes sein soll.
    • Soweit ich es verstehe, ist dieser Fall so aufgebaut, dass man auch ohne eigenen Fehler praktisch betroffen ist, solange man nur mit jemandem verwandt ist, der einen Fehler gemacht hat.
    • Heißt das, du hast keinen Löschantrag gestellt? Wenn du es gelöscht hast, ist es ziemlich wahrscheinlich, dass die Hacker die Daten nicht haben.
  • Ich bin eine der Betroffenen des Leaks. Ich bin technisch versiert, kenne mich mit Sicherheit aus und verwende überall einzigartige, sichere Passwörter.
    Dieses Unternehmen und seine verdammte Schuldabwälzung widern mich wirklich an.
    Das ist praktisch Doxxing im Unternehmensmaßstab. So etwas wird sich weiter wiederholen, bis einzelne Führungskräfte großer Konzerne persönlich dafür haften, den Nutzern so ins Gesicht zu spucken.
    Bis dahin haben sie nämlich keine echte Pflicht, sich darum zu kümmern. Wir sind nur Rohstoff für eine Geldmaschine.
    Mehr noch als der Leak selbst macht mich die fehlende Verantwortlichkeit wütend.
    Die Stimmung in den Kommentaren, den Opfern die Schuld zu geben, ist schockierend.

    • 23andMe scheint vermitteln zu wollen, dass Zehntausende Kundenkonten durch einen Credential-Stuffing-Angriff gehackt wurden.
      Selbst wenn man von 1.500 Matches pro Person ausgeht und annimmt, dass sich keine Verwandten überschneiden, bräuchte man ungefähr 10.000 erfolgreich gehackte Konten, um auf die geleakte Datenmenge von rund 14 Millionen Personen zu kommen.
      In der Realität überschneiden sich bei vielen Menschen die Verwandten, also hätten weit mehr als 10.000 Konten angegriffen werden müssen, und 23andMe hätte die ganze Zeit über keinerlei Auffälligkeiten bemerken dürfen. Das ist sehr unplausibel.
      23andMe behauptet, die Ursache dieses Leaks sei Credential Stuffing, aber die Hacker, die die Daten vor zwei Monaten erstmals auf Hydra Market veröffentlichten, behaupteten, sie hätten einfach die API genutzt oder missbraucht, die 23andMe akademischen und Forschungspartnern bereitgestellt hatte.
      Die Hacker behaupteten, 300 TB einschließlich Rohdaten zu besitzen, haben aber bisher keine Belege vorgelegt, dass der Angriff tatsächlich diesen Umfang hatte. Sollte diese Behauptung jedoch stimmen, passt dieser Vorfall viel eher zu der behaupteten API-Nutzung als zu Credential Stuffing.
      Wenn der von den Angreifern genannte Umfang also stimmt, ist es deutlich wahrscheinlicher, dass sie über eine der APIs von 23andMe die gesamten Daten abgesaugt haben, als dass es Credential Stuffing war. Einer der Forschungspartner könnte gehackt worden sein, oder es gab — oder gibt noch immer — eine Schwachstelle in der API-Zugriffskontrolle, die es Angreifern erlaubte, alle Daten erneut abzugreifen.
      Es gibt nicht viele Informationen über die von 23andMe angebotenen APIs, aber ich habe eine auf RapidAPI gefunden (https://rapidapi.com/23andme/api/23andme). Wenn es eine Schwachstelle in der Zugriffskontrolle oder eine Rechteausweitung bei einem gehackten Nutzer gab, hätte eine einzelne Person als Ausgangspunkt genügt, um über mehrere Endpunkte Daten herunterzuladen und über den Verwandten-Endpunkt rekursiv allen Verwandten zu folgen und jede Person einmal herunterzuladen. Es gibt sogar einen Endpunkt für das vollständige Genom einer Person.
      Im Moment bin ich gegenüber der Verteidigungslinie von 23andMe sehr skeptisch, aber bevor die Angreifer Beweise veröffentlichen, dass sie Rohdaten besitzen, lässt sich schwer nachweisen, dass das Unternehmen beim tatsächlichen Umfang des Angriffs falschliegt oder lügt. Trotzdem ergibt die Behauptung, eine API genutzt zu haben, viel mehr Sinn als die von 23andMe dargestellte Methode, und genau deshalb ist das sehr besorgniserregend.
    • Es ist schon seltsam, wie nachsichtig man damit ist, dass OnlyFans-Creator Videos und Audio ihrer Phänotypen verschicken, während es nicht als obszön gilt, dass 23andMe Menschen auf Source-Code-Ebene erfasst.
    • Wenn man seine DNA-Daten ins Internet hochgeladen hat, ist es Zeit, die Sicherheitsgrundlagen noch einmal zu überdenken.
    • Ich verstehe nicht, warum jemand mit technischem Wissen bei so einem Honeypot mitgemacht hat. Ich würde gern wissen, worauf sie vertraut haben.
    • Hast du beim Kauf einen falschen Namen und eine Prepaid-Debitkarte verwendet? Ich bin froh, dass ich es so gemacht habe.
      Natürlich könnten sie mich, wenn sie wirklich wollten, anhand von Verwandten zurückverfolgen, die die Plattform nutzen.
  • „23andMe hat die Wiederverwendung von Passwörtern durch Kunden verantwortlich gemacht“ — egal, wie genau sie es formuliert haben, das ist ein Versäumnis des Unternehmens, nicht der Kunden.
    Kunden verwenden Passwörter wieder und werden das auch weiterhin tun. Bei sensiblen personenbezogenen Daten ist es viel einfacher, 2FA oder Google SSO zu erzwingen, als das Verhalten der Kunden ändern zu wollen.

    • Ich glaube keine Sekunde, dass auf einer Plattform wegen wiederverwendeter Passwörter per Credential Stuffing Millionen Konten kompromittiert wurden.
    • Zustimmung. Sie hätten eine Verifizierung per E-Mail-Link einsetzen können, ohne dass Nutzer selbst 2FA einrichten müssen.
    • 2FA gibt es zwar, aber wahrscheinlich gibt es Millionen Konten, die erstellt wurden, bevor diese Funktion eingeführt wurde, und bei denen sich die Nutzer nie wieder eingeloggt haben, um sie einzurichten.
      Es ist zwar das sicherere Verfahren über eine Authenticator-App statt SMS, aber weil es umständlicher ist, Nutzer zur Aktivierung zu bringen, könnte das die Verbreitung beeinflusst haben.
    • Das ist ein Versagen, Multifaktor-Authentifizierung nicht verpflichtend gemacht zu haben.
  • Wenn 300 TB an Kundendaten unbemerkt von 23andMe abgeflossen sind, sieht das nach Fahrlässigkeit aus. Hätte es da nicht Alarme geben müssen?

    • „Bob, warum ist unsere AWS-Rechnung diesen Monat so hoch … ach verdammt.“
    • Falls es kein Credential Stuffing war, könnten sie pro IP nur ein paar GB pro Tag abgezogen haben, um Volumen-Anomalieerkennung zu umgehen.
      Trotzdem hätte 23andMe Erkennungen oder Kontrollen haben müssen, die neue geografische Standorte beim Kundenspeicher markieren. Schließlich hätten sie kaum die Ziele jedes einzelnen Kunden fälschen können.
      Oder es hätte bei Zugriffen auf Daten über ein Admin-Konto ein Autorisierungsverfahren mit Audit-Trail und Freigabeprozess geben müssen.
  • Erstaunlich, zahlenden Kunden die Schuld zu geben, um das eigene Versagen bei der Systemsicherheit zu kaschieren.
    Nutzer kann man nicht kontrollieren, die eigene Security Posture aber schon. Die Haltung und das Urteilsvermögen der 23andMe-Führung sind erbärmlich.

    • Die Haltung, die aus so einer Reaktion spricht, klingt weniger nach „Es tut uns leid, dass eure Daten geleakt wurden“, sondern eher nach „Schade, dass wir mit diesen Daten jetzt kein Geld mehr verdienen können“.
      Das Produkt von 23andMe ist die DNA der Nutzer, nur hübsch in leicht verdaulicher Form verpackt.
  • Wenn sie nicht bemerkt haben, dass durch Credential Stuffing Millionen Datensätze gestohlen wurden, ist das für das Unternehmen auch keine bessere Ausrede.
    Ich werde vermutlich tot sein, bevor ich erlebe, dass ein Unternehmen für sein eigenes Handeln Verantwortung übernimmt, also überrascht mich das nicht einmal.

  • 23andMe kam auf, als ich in der Highschool war, und eine meiner Naturwissenschaftslehrerinnen hat eine ganze Unterrichtsstunde darauf verwendet zu erklären, warum man diesen Dienst auf keinen Fall nutzen sollte.
    Ehrlich gesagt war das die wertvollste Unterrichtsstunde, die ich je hatte, und ihretwegen bin ich nie auch nur in die Nähe davon gegangen.
    Ich finde, Datenschutz sollte in der Schule in ein Pflichtfach wie Gesundheitskunde aufgenommen werden. Allerdings würde der festgelegte Lehrplan wahrscheinlich durch Lobbyarbeit verwässert, sodass am Ende nichts wirklich Wertvolles gelehrt würde.

    • Ich verstehe nicht, warum diese Stunde so wertvoll gewesen sein soll. Und auch nicht, warum die Nutzung von 23andMe für andere Menschen die größte Reue ihres Lebens sein sollte.
      Was an DNA ist privat?
  • Verwandte aktuelle Beiträge:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - Oktober 2023, 20 Kommentare
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - Oktober 2023, 3 Kommentare
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - Oktober 2023, 2 Kommentare

  • „Die Art von Informationen, die Gentest-Unternehmen sammeln, ist derzeit nicht durch das US-Gesetz zum Schutz von Gesundheitsinformationen HIPAA geschützt.“
    Die Lobbyisten der Gentest-Branche scheinen gute Arbeit geleistet zu haben.

    • Wenn physische DNA geschützte Gesundheitsinformationen wären, müsste jeder Ort, an dem wir DNA hinterlassen, so abgesichert sein wie eine Arztpraxis.
      Aber Daten, die durch die Analyse von DNA sichtbar werden, etwa ob jemand eine Erbkrankheit hat, sollten geschützte Gesundheitsinformationen sein.
      Es ist merkwürdig, dass sich etwas nur dadurch, dass ein einzelnes Haar verarbeitet wurde, von „keine geschützten Gesundheitsinformationen“ zu „jetzt geschützte Gesundheitsinformationen“ ändern kann.
      „Ab welchem Zeitpunkt wird es zu geschützten Gesundheitsinformationen?“ dürfte eine schwer zu beantwortende Frage sein.
      Meiner Meinung nach braucht der Schutz DNA-bezogener Daten ein eigenes System, das sich von HIPAA unterscheidet.
    • Gibt es dafür eine Grundlage? Wurde das tatsächlich einmal geprüft, oder ist das einfach ausgedacht?