23andMe подтвердила утечку данных 6,9 млн клиентов

Платформа генетических тестов 23andMe признала утечку данных 6,9 млн пользователей. Это произошло в результате атаки хакеров. Теперь у злоумышленников есть информация о каждом из пострадавших, включая данные об их потенциальных родственниках. 

По словам представителя 23andMe Энди Килла, взлом затронул около 5,5 млн человек, у которых была включена функция DNA Relatives (она находит пользователей со схожим генетическим профилем), а также 1,4 млн с профилями генеалогического древа. 

Предполагается, что хакер использовал атаку с подстановкой учетных данных. Иными словами, злоумышленник проник в систему, взломав учетную запись, в которой, возможно, повторно использовался старый пароль. В итоге хакер получил доступ к данным 0,1% учетных записей или 14 тысяч человек. Далее он использовал функцию «ДНК-родственники», которая сопоставляет профили с другими участниками, для доступа к дополнительной информации из миллионов профилей. Наконец, взломщик получил доступ к «значительному количеству файлов» через функцию «Родственники». 

Впервые платформа заявила о взломе в октябре, когда данные пользователей были выставлены на продажу в даркнете. Сайт генетического тестирования позже отмечал, что расследует заявления хакеров о том, что они продают 4 млн генетических профилей жителей Великобритании и «самых богатых людей, живущих в США и Западной Европе». Эти данные включают имена, прогнозируемые отношения с другими людьми, количество ДНК-пользователей с совпадениями, а также информацию о происхождении, локации, местах рождения предков, фамилии, изображения профиля и многое другое. 

Важно, что в начале октября этого года те же хакеры уже публиковали аналогичные данные компании 23andMe. Они принадлежали около 1 млн пользователей из Израиля. Клиенты обратились в 23andMe, чтобы узнать информацию о своем происхождении и генетических предрасположенностях. 

Ранее московский суд приговорил хакера, взломавшего «Гемотест», к 1,5 годам лишения свободы. Он украл 300 Гб данных клиентов сети лабораторий. По версии суда, обвиняемый взломал систему через удаленный сайт корпоративного телевидения. Как он получил к нему доступ неизвестно.