23andMe stwierdziło, że wśród danych skradzionych w wyniku naruszenia trwającego od końca kwietnia do końca września 2023 r. znalazły się surowe dane genomiczne i raporty dotyczące stanu zdrowia.

Najnowsze szczegóły dotyczące włamania do 23andMe zostały ujawnione w pismach powiadamiających o naruszeniu danych przesłanych do biura prokuratora generalnego Kalifornii i opublikowanych na stronie internetowej AG około 21 stycznia.

Naruszenie danych w 23andMe pozostało niewykryte przez 5 miesięcy

23andMe po raz pierwszy ujawniło, że naruszenie, o którym firma dowiedziała się dopiero na początku października, rozpoczęło się 29 kwietnia 2023 roku.

Przez około pięć miesięcy osoba atakująca wykorzystywała fałszowanie danych uwierzytelniających, aby uzyskać bezpośredni dostęp do co najmniej 14 000 kont, a następnie wykorzystała te konta do pobrania dodatkowych danych użytkowników z funkcji profili DNA Relatives i Family Tree. 23andMe twierdzi, że łączna liczba dotkniętych klientów wynosi około 6,9 miliona.

Firma 23andMe dowiedziała się o naruszeniu dopiero po tym, jak 1 października na nieoficjalnym subreddicie 23andMe internetowego portalu społecznościowego Reddit opublikowano post, w którym ktoś reklamował skradzione dane. Jak wynika z zawiadomień, w odpowiedzi firma wszczęła dochodzenie, skontaktowała się z federalnymi organami ścigania i zaangażowała zewnętrznych ekspertów ds. reagowania na incydenty.

Klienci 23andMe musieli zresetować swoje hasła 10 października, a od 6 listopada musieli wdrożyć uwierzytelnianie dwuskładnikowe (2FA). Firma zakończyła dochodzenie 1 grudnia i wkrótce potem ujawniła całkowitą liczbę ofiar.

Linki do pliku zawierającego skradzione dane zostały opublikowane na nielegalnych forach BreachForum i chociaż linki te wygasły w ciągu 24 godzin od ich utworzenia, 23andMe stwierdziło w swoich najnowszych powiadomieniach, że nadal pracuje nad usunięciem ponownego przesłania pliku z innych, bliżej nieokreślonych witryn internetowych.

Mitch Tanenbaum, CISO w Turnkey Cybersecurity and Privacy Solutions oraz partner w CyberCecurity, wyraził w poście na blogu opinię, że cyberatak 23andMe prawdopodobnie pozostawał niewykryty przez tak długi czas z powodu braku logowania lub powiadamiania o właściwej aktywności.

„[…] Można śmiało powiedzieć, że jeśli nie będziesz szukać odpowiednich zdarzeń, nie ostrzegasz o właściwych zdarzeniach i nie badasz tych zdarzeń, hakerzy będą mogli swobodnie wędrować, być może na zawsze” – napisał Tanenbaum.

Surowe dane genetyczne, raporty zdrowotne skradzione z kont wypełnionych danymi uwierzytelniającymi

Firma 23andMe przedstawiła osiem różnych wersji powiadomienia o naruszeniu danych, w tym trzy e-maile i pięć oficjalnych pism. Wydaje się, że różne powiadomienia mają zastosowanie do różnych odbiorców w zależności od tego, jakie dane wyciekły z ich kont, a także od tego, czy dostęp do tych danych uzyskano bezpośrednio poprzez upchanie danych uwierzytelniających, czy pośrednio poprzez skrobanie funkcji DNA Relatives.

Jedna z wersji powiadomienia informuje odbiorców, że ich „nieprzerwane, surowe dane o genotypie” zostały pobrane lub uzyskano dostęp z ich konta wypełnionego poświadczeniami.

Surowe dane genetyczne w 23andMe można przeglądać za pomocą funkcji „Przeglądaj surowe dane” lub pobrać w formacie pliku .txt. Surowe dane genetyczne dostarczone przez 23andMe informują klientów o parach zasad (kombinacjach A, T, G i C) występujących w określonych lokalizacjach markerów genowych na ich chromosomach.

Surowe pliki danych genomowych pobrane z 23andMe można przesłać do innych serwisów w celu dodatkowej interpretacji lub w celu znalezienia krewnych genetycznych, którzy korzystali z innych usług testowych. W niektórych witrynach, takich jak GEDmatch, dane genetyczne przesłane przez użytkowników są wykorzystywane przez organy ścigania do porównania z dowodami DNA z postępowań karnych.

W następstwie cyberataku 23andMe na czas nieokreślony wyłączyło możliwość pobierania surowych plików danych genetycznych.

W innych pismach informowano klientów, że w wyniku naruszenia skradziono raporty zdrowotne oparte na ich informacjach genetycznych, w tym raporty dotyczące predyspozycji zdrowotnych, dobrego samopoczucia i statusu nosiciela niektórych chorób.

Raporty 23andMe oferuje dla osób korzystających z usług badań zdrowotnych m.in. badania dotyczące predyspozycji do cukrzycy typu 2, nosicielstwa mukowiscydozy, prawdopodobieństwa nietolerancji laktozy i dziesiątki innych.

Pozostałe powiadomienia ujawniały różny zakres informacji o krewnych DNA i profilach drzewa genealogicznego zebranych od genetycznych krewnych osób, do których kont uzyskano dostęp. Dane te były dostępne dla atakujących, ponieważ użytkownicy mają możliwość udostępniania określonych informacji profilowych innym użytkownikom, z którymi są genetycznie powiązani.

Dane wyciekające z funkcji Krewni DNA i Drzewo genealogiczne obejmowały raporty dotyczące przodków, przewidywane powiązania z dopasowaniami względnymi DNA oraz informacje zgłaszane przez samych użytkowników, takie jak lokalizacja, nazwiska rodowe, zdjęcie profilowe, rok urodzenia oraz informacje opublikowane w sekcji „Przedstaw się” w witrynie profil użytkownika.

23andMe oświadczyło, że nie wierzy, że naruszenie doprowadziło do kradzieży tożsamości lub oszustwa, ponieważ skradzione informacje nie obejmowały numerów ubezpieczenia społecznego, numerów prawa jazdy ani informacji finansowych.

Wiele postępowań toczy się przeciwko 23andMe

Pozwy zbiorowe związane z cyberatakiem 23andMe zarzucają firmie naruszenie przepisów dotyczących prywatności, w tym kalifornijskiej ustawy o prawach do prywatności (CPRA), kalifornijskiej ustawy o poufności informacji medycznych (CMIA) i ustawy o ochronie informacji genetycznych stanu Illinois, poprzez brak wystarczającej ochrony użytkowników dane.

Firma 23andMe zaprzeczyła zarzutom w piśmie skierowanym do prawników reprezentujących powodów w jednym z pozwów, stwierdzając, że powodów „nie dotknęło żadne naruszenie bezpieczeństwa w ramach ustawy CPRA”, chociaż powiadomienia opublikowane na stronie internetowej California AG zawierają temat „Zawiadomienie o naruszeniu danych ” i „Zawiadomienie o naruszeniu bezpieczeństwa”.

Firma argumentowała, że ​​nie ponosi odpowiedzialności za ujawnienie informacji o klientach, ponieważ sprawca wykorzystał dane uwierzytelniające, które wyciekły podczas poprzednich naruszeń niezwiązanych z 23andMe, a raczej bezpośrednio naruszał systemy 23andMe.

„[…] użytkownicy używali tych samych nazw użytkowników i haseł na 23andMe.com, co na innych stronach internetowych, które były przedmiotem wcześniejszych naruszeń bezpieczeństwa, a użytkownicy w wyniku zaniedbania poddali recyklingowi i nie aktualizowali swoich haseł” – napisał prawnik firmy.

30 listopada 23andMe zaktualizowało swoje Warunki korzystania, dodając klauzulę utrudniającą klientom dochodzenie pozwów zbiorowych.

Firma SC Media skontaktowała się z firmą 23andMe z pytaniami dotyczącymi informacji zawartych w ostatnich pismach z powiadomieniami i nie otrzymała odpowiedzi.