Cyberprzestępcy wykradli i opublikowali na forum hakerskim 4,1 miliona profili genetycznych klientów firmy 23andMe. Ofiarami są użytkownicy z Wielkiej Brytanii i Niemiec. Wcześniej, w tym miesiącu ujawniono również skradzione dane 1 miliona Żydów aszkenazyjskich, którzy korzystali z usług firmy w celu znalezienia informacji o swoim pochodzeniu i predyspozycjach genetycznych.
23andMe przekazało serwisowi BleepingComputer, że dane zostały uzyskane w wyniku ataków na konta użytkowników chronione słabymi hasłami lub danymi uwierzytelniającymi, ujawnionymi w wyniku wcześniejszych wycieków. Firma twierdzi, że nie znajduje śladów wskazujących na incydent bezpieczeństwa w swoich systemach informatycznych. Deklaruje również, że tylko ograniczona liczba kont została naruszona, jednak, jako że celem ataku była również funkcja „Krewni DNA”, przestępcy mogli wykraść dane milionów spokrewnionych osób.
Komentuje Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET:
Z serwisu została wykradziona naprawdę duża ilość danych: identyfikatory kont użytkowników, imiona i nazwiska, płeć, data urodzenia, profile DNA i szczegółowa lokalizacja. Dokładnie takich informacji szukają cyberprzestępcy. Użytkownicy mogą spodziewać się, że dane te zostaną niebawem sprzedane w darknecie.
Niestety, swojego DNA nie można zastąpić tak łatwo, jak konta w mediach społecznościowych lub zmienić, jak hasła. Klienci niewiele mogą zrobić, aby ochronić bardzo wrażliwe dane, które zostały skradzione.
W przypadku takich danych istotny jest również aspekt osobisty: cyberprzestępcy weszli w posiadanie informacji, które są bardzo prywatne i istnieje spora szansa, że ich właściciele nie chcieli się nimi dzielić. Niestety, czasu nie da się cofnąć i obecnie nie mają już wpływu, na to kto dowie się z kim są spokrewnieni i skąd pochodzili ich przodkowie. Wiele osób korzysta z serwisów śledzących połączenia rodzinne i genetyczne z czystej ciekawości. Kluczowe jest, abyśmy dokładnie przemyśleli, komu przekazujemy nasze dane i czy naprawdę jest to konieczne, zwłaszcza jeżeli chodzi o sprawy tak bardzo osobiste, jak profile DNA.
Po raz kolejny dowiadujemy się, że hasła, które kiedyś dobrze radziły sobie z odpieraniem podstawowych ataków, obecnie już nie wystarczają. Uwierzytelnianie wieloskładnikowe, uwierzytelnianie oparte na jednorazowych hasłach lub kluczach sprzętowych to środki, które powinniśmy wybierać.
Dlatego też firmy przetwarzające wrażliwe dane medyczne powinny wdrożyć odpowiednie środki bezpieczeństwa, które pomogłyby uniemożliwić atakującym dostęp do dużych zbiorów danych. Ich odpowiedzialnością powinno również być stałe monitorowanie swoich sieci pod kątem nieprawidłowości, aby zatrzymać atak na jak najwcześniejszym etapie. Dobrą praktyką byłoby potwierdzanie innym kanałem komunikacji dostępu do danych wrażliwych (dane medyczne) np. poprzez powiadomienie SMS lub powiadomienie w aplikacji.
