1 Punkte von GN⁺ 2023-12-06 | 1 Kommentare | Auf WhatsApp teilen
  • Anfangs hieß es, dass etwa 14.000 direkt kompromittierte Konten betroffen seien, doch über das DNA Relatives-Netzwerk wuchs der Gesamtschaden auf 6,9 Millionen Menschen an
  • Bei rund 5,5 Millionen Opt-in-Nutzern wurden Name, Geburtsjahr, Beziehungsbezeichnung, mit Verwandten geteilter DNA-Anteil, Abstammungsberichte und selbst angegebener Standort offengelegt
  • Weitere rund 1,4 Millionen Personen waren von Zugriffen auf Family Tree-Profilinformationen betroffen, darunter Anzeigename, Beziehungsbezeichnung, Standort und ob Informationen geteilt wurden
  • 23andMe erklärte, dass durch die Wiederverwendung von Passwörtern durch Kunden der Zugriff auf Konten mit bei anderen Diensten geleakten Passwörtern möglich wurde
  • Da die Kompromittierung eines Kontos zur Offenlegung verbundener Verwandtendaten führen konnte, betrifft der Vorfall fast die Hälfte der von 23andMe gemeldeten insgesamt 14 Millionen Kunden

23andMe-Datenpanne auf 6,9 Millionen Betroffene angewachsen

  • 23andMe teilte am Freitag mit, dass Hacker auf die personenbezogenen Daten von 0,1 % der Kunden, also rund 14.000 Personen, zugegriffen hätten
  • Damals erklärte das Unternehmen, dass über diese Konten auch auf eine „erhebliche Zahl“ von Dateien mit Abstammungsinformationen anderer Nutzer zugegriffen werden konnte, nannte aber keine Zahl der betroffenen „anderen Nutzer“
  • Später bestätigte ein Sprecher von 23andMe, dass die Gesamtzahl der Betroffenen bei 6,9 Millionen liegt
  • Diese Zahl entspricht fast der Hälfte der von 23andMe gemeldeten insgesamt 14 Millionen Kunden

In DNA Relatives und Family Tree offengelegte Informationen

  • Rund 5,5 Millionen Betroffene waren Nutzer, die der DNA Relatives-Funktion von 23andMe per Opt-in zugestimmt hatten
    • Diese Funktion ermöglicht es Kunden, bestimmte Daten automatisch mit anderen Nutzern zu teilen
    • Zu den Daten, auf die Hacker zugreifen konnten, gehörten Name, Geburtsjahr, Beziehungsbezeichnung, mit Verwandten geteilter DNA-Anteil, Abstammungsberichte und selbst angegebener Standort
  • Weitere rund 1,4 Millionen Opt-in-Nutzer von DNA Relatives waren von Zugriffen auf Family Tree-Profilinformationen betroffen
    • Dazu gehörten Anzeigename, Beziehungsbezeichnung, Geburtsjahr, selbst angegebener Standort und ob Nutzer der Weitergabe ihrer Informationen zugestimmt hatten
  • Da DNA Relatives Nutzer mit Verwandten abgleicht, kann bei der Kompromittierung eines einzelnen Kontos nicht nur der Kontoinhaber, sondern auch die personenbezogenen Daten verbundener Verwandter offengelegt werden
  • Diese vernetzte Struktur führte zu einem weitaus größeren Schadensumfang als die Zahl der direkt kompromittierten Konten

Beiträge in Hacking-Foren und Hinweise auf die Echtheit der Daten

  • Anfang Oktober behauptete ein Hacker in einem bekannten Hacking-Forum, DNA-Informationen von 23andMe-Nutzern gestohlen zu haben
  • Als Beleg für den Vorfall veröffentlichte er Daten, die angeblich von 1 Million Nutzern aschkenasisch-jüdischer Abstammung und 100.000 chinesischen Nutzern stammen
  • Der Hacker bot an, die Daten für 1 bis 10 US-Dollar pro Konto zu verkaufen
  • Zwei Wochen später bewarb derselbe Hacker im selben Hacking-Forum weitere Daten, die angeblich 4 Millionen Datensätze umfassen
  • In einem separaten Hacking-Forum fanden sich zudem Hinweise darauf, dass ein Bündel angeblicher 23andMe-Kundendaten bereits zwei Monate vor der weithin bekannten Anzeige beworben worden war
  • Bei der Analyse der vor Monaten geleakten Daten zeigte sich, dass einige Datensätze mit genetischen Daten übereinstimmten, die Hobbyforscher und Genealogen online veröffentlicht hatten
    • Die beiden Datensätze hatten unterschiedliche Formate, enthielten aber teils identische eindeutige Nutzerdaten und allgemeine Daten
    • Das deutet darauf hin, dass die von dem Hacker geleakten Daten zumindest teilweise tatsächlich 23andMe-Kundendaten sein könnten

Von 23andMe genannte Ursache des Vorfalls

  • 23andMe nannte in seiner Offenlegung im Oktober die Wiederverwendung von Passwörtern durch Kunden als Ursache
  • Die Hacker konnten mit Passwörtern, die bei Datenpannen anderer Unternehmen offengelegt worden waren, per Credential-Stuffing auf die Konten der Opfer zugreifen
  • Der Zugriff auf ein einzelnes Konto weitete sich über das DNA-Relatives-Netzwerk auf Informationen anderer Nutzer aus, wodurch das Ausmaß des Vorfalls stark anwuchs

1 Kommentare

 
GN⁺ 2023-12-06
Meinungen auf Hacker News
  • Dieser Vorfall ist ein perfektes Gegenbeispiel zu Aussagen wie: „Warum legst du so viel Wert auf Privatsphäre? Wenn ich etwas teile, betrifft dich das doch nicht, und wenn es dir nicht gefällt, musst du es ja nicht tun.“
    Wenn ein Verwandter Genomdaten bei 23andMe hochlädt, werden unabhängig von meiner Entscheidung auch Informationen über mich offengelegt.
    Ich hoffe, die Leute erkennen, dass dasselbe auch gilt, wenn Verhaltensdaten von Menschen gesammelt werden, die denselben Hintergrund teilen.

    • Dem Gegenargument an sich stimme ich zu, aber ich bin mir nicht sicher, ob Menschen wirklich so argumentieren.
      Häufiger hört man einfach: „Warum legst du so viel Wert auf Privatsphäre?“, und oft verstehen sie von vornherein nicht, warum Privatsphäre wichtig ist.
      Auch dieser Vorfall ist kaum ein stärkeres Gegenargument als andere Datenlecks, solange er keinen konkreten Schaden zeigt.
      Ich frage mich, was den Menschen, deren Abstammungsdaten diesmal gestohlen wurden, deiner Ansicht nach tatsächlich passieren wird.
    • Persönlich halte ich den Equifax-Datenleck für das bessere Gegenbeispiel.
      Bei 23andMe konnten Kundinnen und Kunden immerhin entscheiden, ob sie den Dienst nutzen wollen, und Vor- und Nachteile abwägen. Bei Equifax dagegen wurde man zwangsweise in ein Bewertungssystem einbezogen, das von Kreditanträgen bis zu Bewerbungen Auswirkungen hat, und das Unternehmen saugte von Dritten verkaufte Daten auf und hielt meine persönlichen Informationen vor.
      Auch nach dem Leck gab es keine wirksame Abhilfe; obwohl das Risiko von Identitätsdiebstahl sehr hoch war, bot man statt eines Schuldeingeständnisses nur formales „Credit Monitoring“ an.
      Am Ende teilen und verbreiten genau die Auskunfteien, die das Problem geschaffen haben, Informationen ohne Zustimmung und tragen keinerlei Verantwortung.
      Ich halte das für eine ignorante und selbstzerstörerische Logik, bei der die Sorglosigkeit gegenüber Privatsphäre sogar andere in eine schlechtere Lage bringt.
    • Ich unterstütze Privatsphäre und nehme eher mehr Unannehmlichkeiten als die meisten anderen in Kauf, um Teilen zu vermeiden, aber ich halte auch individuelle Entscheidung für wichtig.
      Mir fällt kein Privatsphäre-Modell ein, mit dem man andere daran hindern könnte, ihre eigenen Informationen zu teilen, nur weil sich ein Teil dieser Informationen mit meinen überschneidet.
    • Genau genommen wurde nicht berichtet, dass Genomdaten gestohlen wurden.
      Die geleakten Daten scheinen eher Genealogie- und Verwandtschaftsdaten zu sein.
      Zu den gestohlenen Daten sollen Namen, Geburtsjahre, Beziehungslabels, der mit Verwandten geteilte DNA-Anteil, Abstammungsberichte und selbst angegebene Standorte gehören.
    • Zustimmung.
      Ähnlich kann man fragen: „Wie hoch ist dein Einkommen?“, „Darf ich deine Post lesen?“, „Darf ich deine Hausschlüssel haben?“
      Manche Menschen tun sich mit abstrakten Ideen schwer, aber wenn man es in die physische Welt überträgt, versteht jeder sofort, warum es unangenehm ist.
  • Ich frage mich, wie stark das mit der Änderung der Nutzungsbedingungen zusammenhängt, die ausgerechnet an Thanksgiving verschickt wurde, also zu einem Zeitpunkt, an dem sie in den Posteingängen aller leicht untergeht.
    Diese Änderung versucht, Sammelklagen zu verbieten, vor rechtlichen Schritten ein „informelles“ 60-Tage-Verfahren vorzuschreiben und die Leute in ein bindendes Schiedsverfahren zu drängen.
    Nach den von den Anwälten von 23andMe formulierten Klauseln hat man als Kunde praktisch kaum noch echte Rechtsansprüche.

    • Wird das vor Gericht Bestand haben?
      Zumindest in Deutschland werden Verträge, die eine Seite übermäßig begünstigen, vor Gericht unwirksam.
    • Ich habe gerade die E-Mail-Aktualisierung erhalten, und es sieht so aus, als könne man den neuen Bedingungen widersprechen.
      Was die Folgen davon sind, weiß ich nicht genau.
      „Wir empfehlen Ihnen, die neuen Bedingungen vollständig zu lesen. Wenn Sie den Bedingungen nicht zustimmen, informieren Sie uns bitte innerhalb von 30 Tagen nach Erhalt dieser E-Mail. Dann gelten weiterhin die bisherigen Nutzungsbedingungen. Wenn Sie uns nicht innerhalb von 30 Tagen informieren, gilt dies als Zustimmung zu den neuen Bedingungen.“
      Benachrichtigungs-E-Mail: legal@23andme.com
    • Wenn 6,9 Millionen Nutzer ein Schiedsverfahren einleiten, bevorzugt 23andMe am Ende vielleicht sogar eine Sammelklage.
  • Ich frage mich, ob es überhaupt noch jemanden gibt, der glaubt, dass Privatsphäre in einem praktischen Sinn künftig aufrechterhalten werden kann.
    Machine-Learning-Algorithmen lernen bereits, Menschen ohne Gesichtserkennung allein an ihrem Gang zu identifizieren, und es geht auch in die Richtung, eingegebenen Text nur anhand der Tippgeräusche auf der Tastatur zu entschlüsseln.
    Wenn man alle Hinweise aus sämtlichen öffentlichen Daten und ausreichend weit entwickelte Algorithmen hat: Gibt es dann irgendeinen Weg, die Privatsphäre zu bewahren, die wir heute für vernünftig halten, ohne ausnahmslos extreme Maßnahmen anzuwenden?
    Ich will damit kein Werturteil fällen, sondern nur sagen, dass der laufende Trend so aussieht.

    • Wahrscheinlich ist es schwierig, aber das ist kein Grund, die Diskussion darüber aufzugeben, wie Privatsphäre in Zukunft aussehen sollte.
      Wenn wir untätig bleiben, gewinnen sie; wenn wir öffentlich darüber diskutieren, besteht zumindest die Chance, Schutzmechanismen einzubauen.
      Wobei, ehrlich gesagt, sowieso alles im Eimer ist und EvilCorp gewinnen wird; vielleicht verschwenden wir nur Energie beim Kämpfen und treiben uns selbst in den Wahnsinn.
      Widerstand ist zwecklos.
    • Vor etwa zehn Jahren kannte ich Leute, die an Computer-Vision-Algorithmen forschten, um Menschen nicht anhand des Gesichts, sondern über Ohrform, Gang und Körpermerkmale zu erkennen.
      Der Grund war, dass Firmen wie Fortinet einen „automatischen Doorman“ bauen wollten, bei dem Kameras an den Eingängen von Apartmenthäusern oder Eigentumswohnanlagen vorbeigehende Menschen scannen und analysieren.
      Bei den Beteiligten war kaum irgendein ethisches Bewusstsein zu erkennen.
      Was es braucht, ist eine starke Gesetzgebung, die das Recht auf Vergessenwerden ausdrücklich festschreibt.
      Ich halte die Automatisierung von Identifikation an sich nicht für grundsätzlich falsch, aber die Versuche von Unternehmen, ohne Einwilligung möglichst jeden Menschen zu identifizieren, sind meiner Ansicht nach grob falsch.
    • Die britische Regierung erforscht also schon seit Jahrzehnten einen Gang, der die Privatsphäre schützt: https://youtu.be/eCLp7zodUiI
    • Zustimmung, aber Privatsphäre ist auch eine Abstraktion über dem, worüber sich Menschen tatsächlich Sorgen machen.
      Die Antwort auf „Warum willst du diese Information verbergen?“ läuft letztlich auf die Angst hinaus, dass „[eine Person oder Gruppe] [private Daten] nutzen kann, um mir [schlechte Folgen] zu verursachen“.
      Was Menschen wirklich interessiert, sind nicht die Daten selbst, sondern das Risiko schlechter Folgen.
      Wenn dieser Trend stimmt, sollte der Fokus darauf liegen, die asymmetrischen Machtungleichgewichte in gesellschaftlichen Transaktionen zu verhindern, die solche schlechten Folgen ermöglichen.
    • Persönlich glaube ich nicht, dass sie aufrechterhalten werden kann.
      Früher hat mich allein der Gedanke an geleakte vertrauliche Dokumente wahnsinnig gemacht, aber nachdem ich gesehen habe, wie chaotisch mit personenbezogenen Daten umgegangen wird, wurde mir klar, dass das praktisch garantiert ist.
      Selbst in Australien, wo die Datenschutzgesetze eher gut sind, wurden beim großen Optus-Hack die Kreditkartendaten von ungefähr der halben Bevölkerung gestohlen, und beim Medibank-Hack wurden die Daten eines beträchtlichen Teils der Kunden privater Krankenversicherungen abgegriffen.
      Als ich eine Hypothek beantragte, wurde mir klar, dass selbst kleine lokale Hypothekenmakler jedes Jahr Hunderte bis Tausende sensibler Ausweisdokumente per E-Mail erhalten und sie nach Abschluss des Geschäfts nicht einmal löschen.
      Viele Unternehmen in Australien verifizieren die Identität nur über Name, Adresse und Geburtsdatum, was man in der Regel mit fünf Minuten Suche leicht herausfinden kann.
      Für mein Telstra-Konto hatte ich über Jahre hinweg eine PIN eingerichtet, die Verwaltungsänderungen verhindern sollte, aber eines Tages rief ich an und sie erledigten es einfach, ohne überhaupt nach dem Passwort zu fragen.
      Wenn Privatsphäre respektiert werden soll, bleibt meiner Ansicht nach nur, die Haftung für Betrug tatsächlich den Geschädigten aufzuerlegen: den Unternehmen.
      Der alte Witz von der „gestohlenen Identität“ ist in Wahrheit auch nicht, dass die Identität gestohlen wurde, sondern dass das Prüfverfahren des Unternehmens versagt hat und man die Verantwortung abwälzt, um die Verluste nicht tragen zu müssen.
      Deshalb nutze ich heutzutage nur noch Kreditkarten.
      Denn wenn betrügerische Nutzung auftritt, kann ich eine Rückbuchung veranlassen, und es ist praktisch der einzige Mechanismus, der unbefugten Zugriff auf mein Geld wirksam verhindern kann.
  • Vor Kurzem ist mir etwas ziemlich Unheimliches passiert.
    Ein Krankenhaus, das ich vor einigen Monaten besucht hatte, rief mich an und bat mich, an einem DNA-Analyseprogramm teilzunehmen.
    Sie sagten: „Das Beste daran ist, dass Sie gar nichts tun müssen. Wir können die Blutprobe verwenden, die wir beim letzten Mal entnommen haben.“
    Natürlich habe ich abgelehnt, aber dass sie ohne mein Wissen eine mit mir verknüpfte biologische Probe aufbewahrt hatten und nachträglich sogar eine DNA-Analyse daran durchführen könnten, war absurd.
    Für mich fühlte sich das wie ein Beleg dafür an, dass Datenschutzgesetze in den USA faktisch nicht existieren.
    In der EU darf man Proben nicht ohne Einwilligung einfrieren und aufbewahren, und selbst nicht eingefrorene Proben sind nur für einige Tage erlaubt.

    • In Schweden gibt es ein Register mit Blutproben aller Menschen, die seit 1975 in Schweden geboren wurden: https://sv.wikipedia.org/wiki/PKU-registret
      Der Wikipedia-Artikel ist nur auf Schwedisch.
      Vorhersehbarerweise, oder vielleicht auch interessanterweise, hatte die Polizei keinen Zugriff auf diese Daten, bis nach der Ermordung einer Ministerin im Jahr 2003 die Probe eines Verdächtigen gesichert wurde.
      Soweit bekannt, wurde es danach nicht mehr verwendet.
      Man kann das zynisch sehen, aber bislang hat sich die Nutzung des Registers durch die Polizei nicht etabliert und sie steht unter Kontrolle der Gerichte.
    • Trotzdem hat das Krankenhaus angerufen und versucht, deine Erlaubnis zur Nutzung einzuholen, und wenn es sich an das Gesetz gehalten hat, hätte es die Probe tatsächlich nicht verwendet.
      Heißt das nicht, dass es doch Datenschutzgesetze gibt?
      Es könnte auch ein Schritt in einem Prozess gewesen sein, alte Ergebnisse oder Proben auszusortieren.
  • Irgendetwas passt da nicht zusammen.
    „23andMe erklärte, der Datenabfluss sei durch Passwort-Wiederverwendung bei Kunden entstanden“ – aber wenn auf einmal 14.000 Konten kompromittiert wurden, woher kamen diese Passwörter dann?
    Gab es vielleicht einen anderen damit zusammenhängenden Leak, etwa bei LastPass?
    Und wenn die Hacker über die Funktion „DNA Relatives“ auf die personenbezogenen Daten von 6,9 Millionen Menschen zugreifen konnten, hieße das, dass es pro ursprünglich kompromittiertem Konto etwa 492 eindeutige Verwandte gab.
    Was übersehe ich?

    • Dass 14.000 Konten kompromittiert wurden, ist für sich genommen nicht besonders überraschend, abgesehen von dem technischen Problem, dass fortlaufende Login-Versuche mit verschiedenen Konten nicht begrenzt oder erkannt wurden.
      Die Angreifer könnten über ein großes verteiltes Netzwerk Daten abgegriffen haben, aber wahrscheinlicher ist, dass es von Anfang an keine Erkennung oder keinen Schutz gab.
      Allerdings habe ich mich in mein Konto eingeloggt, um die Zahl meiner Verwandten zu prüfen, und 23andMe hat den Login wegen Passwort-Wiederverwendung blockiert und ein Zurücksetzen verlangt.
      Für dieses Konto habe ich immer ein sehr starkes Passwort verwendet, es nirgendwo wiederverwendet, und Zwei-Faktor-Authentifizierung war ebenfalls aktiviert.
      Auch dem Unternehmen scheint die Erklärung, die Ursache seien wiederverwendete Passwörter gewesen, nicht ganz geheuer zu sein.
      Nachdem ich ein Passwort zurückgesetzt hatte, das ich nie wiederverwendet hatte, sah ich, dass das DNA-Verwandten-Panel 60 Seiten hatte, mit jeweils 25 Personen pro Seite – insgesamt hätten also 1.500 Verwandte abgegriffen werden können.
      Wenn man das bei 14.000 zufälligen Konten abgreift, lässt sich daraus ein ziemlich großes Netzwerk bauen.
    • Überhaupt nicht überraschend.
      Große Listen, die viele frühere Passwort-Leaks zusammenfassen, sind öffentlich verfügbar und nicht nur für Angreifer, sondern für praktisch jeden leicht zugänglich.
      Dass von mehr als 14 Millionen Nutzern 14.000, also 0,1 %, ein anderswo geleaktes Passwort wiederverwendet haben, ist völlig plausibel.
      Umso mehr, wenn man solche Passwörter nicht ausdrücklich erkennt und ungültig macht, wie in der gestrigen HN-Diskussion zu Troy Hunts Arbeit.
    • Wenn es ein Leak durch Passwort-Wiederverwendung war, sollte das bedeuten, dass Kombinationen aus Benutzername und Passwort anderswo durchgesickert sind.
      Wenn Benutzername und Passwort bei 23andMe geleakt wurden, wäre es kein Wiederverwendungsproblem, sondern schlicht das Auffinden und Knacken einer Liste von 23andMe-Zugangsdaten.
      Dass sich in Leak-Listen anderer Websites oder in zusammengeführten Leak-Listen von mehreren Sites 14.000 23andMe-Nutzer überschneiden, ist kein bisschen überraschend.
    • Wenn meine 23andMe-Situation in Bezug auf die Zahl der DNA-Verwandten und deren Anfälligkeit für Hacks ungefähr durchschnittlich ist, klingt das plausibel.
      Laut Suche hat 23andMe 14 Millionen Kunden, und 14.000 kompromittierte Konten bedeuten, dass 1 von 1.000 Konten betroffen war.
      In meiner DNA-Verwandtenliste stehen etwas mehr als 1.500 Personen.
      Wenn jedes Konto mit einer Wahrscheinlichkeit von 1/1000 gehackt wurde, beträgt die Wahrscheinlichkeit, dass keiner meiner Verwandten gehackt wurde, (1-1/1000)^1500 = 0,223.
      Die Wahrscheinlichkeit, dass mindestens ein Verwandter gehackt wurde, liegt also bei 0,777.
      Wenn ich durchschnittlich bin, wäre zu erwarten, dass etwa 10,8 Millionen Menschen ein gehacktes Konto unter ihren Verwandten haben; das scheint nahe genug an der Zahl von 6,9 Millionen zu liegen.
  • Ich habe nie ernsthaft darüber nachgedacht, 23andMe zu nutzen.
    Nicht wegen Hackern, sondern wegen der Frage, wie die Regierung diese Informationen nutzen könnte.
    Ich möchte nicht dafür verantwortlich sein, dass irgendein Verwandter nur wegen meiner Neugier auf den Stammbaum einer Straftat verdächtigt wird.

    • Dank 23andMe habe ich erfahren, dass mein Vater nicht mein biologischer Vater war und dass ich eine Halbschwester sowie eine große Gruppe von Verwandten habe, von deren Existenz ich nichts wusste.
      Die Bedenken zu Privatsphäre und personenbezogenen Daten sind mir völlig bewusst, aber für mich war es eindeutig wertvoll, besser zu verstehen, wer ich bin, und Verwandte zu finden, die mich sehr herzlich aufgenommen haben.
      Letztlich ist es ein Trade-off.
    • Meine 23andMe-Informationen würden mich wirklich interessieren, aber ich ging davon aus, dass sie irgendwann gehackt oder an eine nicht vertrauenswürdige Organisation verkauft werden, die mit dem Ausverkauf der Nutzer schnell Geld machen will.
      Ich würde es machen, wenn nach dem Test und dem Versand der Ergebnisse die Testdaten und Informationen auf Unternehmensseite vernichtet würden – oder wenn ein Test für zu Hause möglich wäre, bei dem die Daten das Haus nicht verlassen.
      Ich verstehe schwer, warum Unternehmen diese Daten dauerhaft speichern.
      Das ist eine enorme Haftungslast.
      In diesem Fall könnte es an der Funktion zur Identifikation von Verwandtschaftsbeziehungen liegen, aber ich bezweifle, dass diese Funktion das Risiko wert ist.
    • Gab es Fälle, in denen solche Datenbanken genutzt wurden, um Anklagen wegen etwas anderem als Mord oder Vergewaltigung zu erheben?
      Die Fälle, die ich gesehen habe und die mit dieser Technik gelöst wurden, waren solche, bei denen ich froh wäre, wenn mein Beitrag geholfen hätte, jemanden aufzuhalten, der etwas wirklich Schlimmes tut.
    • Wenn das deine einzige Sorge ist, solltest du mehr über die Nazis lesen.
      Man muss sich nur vorstellen, was sie getan hätten, wenn sie Zugriff auf eine Datenbank mit genetischen Informationen gehabt hätten.
  • Zufällig habe ich gestern in einem anderen Thread einen hervorragenden Kommentar von adameasterling über Credential-Stuffing-Angriffe gelesen [1].
    Darin hieß es sinngemäß: „Troy Hunt ist wirklich unbezahlbar. Wenn man Webanwendungen entwickelt, gibt es keine Ausrede dafür, keinen Schutz gegen Credential-Stuffing-Angriffe zu haben. Die beste Verteidigung ist wahrscheinlich Zwei-Faktor-Authentifizierung, aber der Abgleich mit Hunts Datenbank gehashter Passwörter ist ebenfalls sehr gut und verlangt den Nutzern keine zusätzliche Arbeit ab.“
    Obwohl dieser Kommentar zu einem 60 Tage alten Beitrag gehört, nannte er 23andMe [2] als Beispiel, und dieser Vorfall wird auch im TechCrunch-Artikel erwähnt.
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • An diesem Punkt fühlt es sich so an, als würde jedes Unternehmen, das Daten sammelt, irgendwann gehackt werden.
    Es ist keine Frage von „ob“, sondern wann.

    • Die Strafen sollten hoch genug sein, damit Websites und Apps ohne sehr guten Grund nicht mehr als eine E-Mail-Adresse erfassen.
      Marketingmaterial verschicken zu wollen, ist kein guter Grund.
    • Wenn die Regierung Daten bekommen oder ändern will, muss gar nichts gehackt werden.
    • Nicht, weil es schwer wäre, sich zu schützen.
      Sondern weil Investitionen in Sicherheit normalerweise keine geschäftliche Priorität sind.
      Das gilt nicht nur für das Management, sondern über Zwang und Anreize auch für die Praktiker.
      Die meisten dieser großen Hacks entstehen durch bekannte Bedrohungen, die schon bei einem gutgläubig durchgeführten normalen Audit auffallen würden.
  • „Zum Glück bieten wir jetzt einen Genom-Monitoring-Service an. Für nur 79,99 $ im Monat werden Sie jedes Mal benachrichtigt, wenn jemand versucht, auf Ihre genetischen Daten zuzugreifen!“ — 23andMe

  • „Wenn man nichts zu verbergen hat, wovor sollte man Angst haben?“
    Ich habe Angst vor dummen Menschen in Machtpositionen
    DNA-Matching als Methode zur Verbrechensaufklärung war von Anfang an problematisch
    „DNA-Beweise sind nicht so zuverlässig, wie viele Menschen glauben“
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    „Das falsche Versprechen von DNA-Tests“
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    „Wie forensische DNA-Beweise zu Fehlurteilen führen können“
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/