Jedna z firm oferujących usługi badania genetycznego stała się ofiarą ataku hakerskiego – cyberprzestępcy mogą być w posiadaniu danych nawet Marka Zuckerberga.
Profile DNA milionów użytkowników wykradzione – na liście znalazły się znane nazwiska
Któż z nas nie marzył chociaż raz o tym, by poznać przeszłość swoich przodów, by dokopać się do najdalszych zakamarków drzewa genealogicznego i sprawdzić, czy nasz praprapradziad nie był przypadkiem wielkim wodzem lub odkrywcą. Cóż, na aż tak ambitne efekty w każdym przypadku raczej liczyć nie można, ale samo odrywanie rejonów pochodzenia i być może nawet dotarcie do zaginionych przodków dzięki wspólnym segmentom DNA jest możliwe dzięki licznym firmom, oferującym badania genetyczne. Wiąże się to jednak z podzieleniem się dość wrażliwymi danymi, a te mogą wpaść w ręce niepożądanych osób, jeśli dany podmiot nie przyłoży się do zabezpieczeń. Tak niestety stało się z 23andMe – amerykańską firmą, zajmującą się biotechnologią.
Wróżąc ze śliny
Jak takie usługi w zasadzie działają? Po zarejestrowaniu i wykupieniu pakietu (w przypadku 23andMe za 129 dolarów) otrzymujemy fiolkę na ślinę, którą trzeba zebrać w odpowiednich okolicznościach – na pół godziny przed zebraniem materiału nie można między innymi palić papierosów czy żuć gumy. Próbka zostaje następnie odesłana do laboratorium, gdzie badacze podejmują się analizy materiału genetycznego.
Jednak oprócz samej śliny konieczne jest także podanie innych szczegółów – imienia i nazwiska, daty urodzenia, informacji kontaktowych i adresu do dostawy. I to właśnie te kompleksowe dane wpadły w ręce cyberprzestępców, którzy już teraz handlują nimi na czarnym rynku. Jak do tego doszło?
Nawet Mark Zucerberg mógł stać się ofiarą wycieku
Według 23andMe furtka do wykradzenia wrażliwych informacji powstała podczas wcześniejszych naruszeń systemu, które pozwoliły hakerom uzyskać dostęp do danych logowania. Co ciekawe jednak firma dowiedziała się o ataku nie z wewnętrznych audytów bezpieczeństwa, a z… Reddita. Tam też pojawił się – usunięty już – post o naruszeniu bezpieczeństwa i dopiero wtedy 23andMe zareagowało. Na Reddicie znalazł się zaś dlatego, bo jeden z anonimowych sprzedawców ogłosił na BreachForums, że posiada „profile DNA milionów, od czołowych magnatów biznesowych na świecie po dynastie, o których często szeptano w teoriach spiskowych”. Każdy z zestawów danych był powiązany z adresami mailowymi, danymi teleadresowymi, a nawet zdjęciami
Oprócz zwykłych klientów wyciek objął także zespół 23andMe i – jak twierdzi Wired – takich sław jak Mark Zucerberg czy Sergey Brin – były prezes Alphabetu, spółki matki Google. Osoby te są dość blisko powiązane, bo dyrektorką firmy jest Anne Wojcicki, czyli byłej CEO, YouTube Susan Wojcicki, a także byłej żony Brina.
Hakerzy weszli też w posiadanie nieokreślonej liczby zdjęć, bo firma umożliwiała też tworzenie profili przeznaczonych do kontaktu z potencjalnymi członkami zaginionej rodziny – taki mały wewnętrzny portal społecznościowy. Dzięki temu sprawcy kradzieży mają wręcz kompleksowy zbiór danych na temat ofiar ataku, bo baza danych 23andMe w zasadzie stanęła otworem. Skala tego wycieku jest oczywiście znacznie większa, bo firma posiada łącznie 14 milionów użytkowników.
Cyberprzestępcy sprzedają dane w paczkach liczących 100 profili, wartych 1000 dolarów, lub 100 000 profili za równowartość 100 tys. dolarów. 23andMe działa głównie na rynku amerykańskim, kanadyjskim i brytyjskim, ale na liście państw objętych usługami międzynarodowymi znalazła się także Polska. Jeśli więc korzystaliście z badania genetycznego od 23andMe, to Wasze dane także mogą być zagrożone – niestety firma nie podaje szczegółów odnośnie kradzieży informacji o klientach znad Wisły.
Stock image from Depositphotos
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu