周五,基因检测公司 23andMe 宣布,黑客直接访问了其 0.1% 客户的个人数据,即大约 14000 人。该公司还表示,通过访问这些账户,黑客还能够访问"大量包含其他用户祖先档案信息的文件"。但 23andMe 并未透露有多少"其他用户"受到了该公司最初于 10 月初披露的漏洞的影响。事实证明,有很多"其他用户"是这次数据泄露事件的受害者: 总共有 690 万人受到影响。
23andMe 发言人凯蒂-沃森(Katie Watson)在周六晚些时候发送给 TechCrunch 的一封电子邮件中证实,黑客获取了约 550 万人的个人信息,这些人选择了 23andMe 的 DNA相关查询功能,该功能允许用户自动与他人共享部分数据。被窃取的数据包括个人姓名、出生年份、关系标签、与亲属共享的 DNA 比例、祖先报告和自我报告的位置。
发言人说,23andMe 还证实,另一批选择加入 DNA Relatives 的约 140 万人的"家庭树档案信息也被访问",其中包括显示姓名、关系标签、出生年份、自我报告的地点以及用户是否决定共享其信息。(23andMe声明其电子邮件的部分内容为"背景信息",要求双方事先同意相关条款)。
暂不清楚23andMe 为什么没有在周五披露这些数据。考虑到新加入的数据,实际上,此次数据泄露事件影响到 23andMe 总共 1400 万客户中的大约一半。
10 月初,一名黑客在一个知名黑客论坛上发帖,声称窃取了 23andMe 用户的 DNA 信息。作为漏洞的证据,该黑客公布了据称是 100 万名犹太阿什肯纳兹后裔用户和 10 万名中国用户的数据,并要求潜在买家以每个个人账户 1 到 10 美元的价格购买这些数据。两周后,同一黑客又在同一黑客论坛上公布了另外 400 万人的所谓记录。
随后,另一名黑客在另一个黑客论坛上发布了一批据称被盗的23andMe客户数据的广告,而这一广告早在被广泛报道的两个月前就已经发布了。
当分析几个月前泄露的数据时不难发现一些记录与业余爱好者和家谱学家在网上公布的基因数据相吻合。两组信息格式不同,但包含一些相同的唯一用户和通用数据,这表明黑客泄露的数据至少部分是真实的 23andMe 客户数据。
23andMe 在今年 10 月披露这一事件时表示,数据泄露是由于客户重复使用密码造成的,这使得黑客可以利用其他公司数据泄露事件中公开的密码对受害者的账户进行暴力破解。由于 DNA Relatives 功能可以将用户与其亲属进行匹配,黑客通过入侵一个个人账户,就可以看到账户持有人及其亲属的个人数据,这就放大了 23andMe 受害者的总人数。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
