23andMe 承認黑客攻擊導致 690 萬用戶健康數據泄露

23andMe證實，一次近期的數據泄露事件導致約690萬用戶數據被泄露。該公司發言人Andy Kill在發給The Verge的電郵聲明中表示，這次泄露影響了大約550萬使用了DNA Relatives功能的用戶，這一功能允許相似基因構成的用戶進行配對，還有140萬人的家族樹信息被非法獲取。

12月1日深夜，23andMe在其博客文章更新並向美國證券交易委員會（SEC）提交的文件中表示，一名黑客通過使用憑證填充攻擊：使用在其他安全漏洞中獲取的賬戶信息進行登錄（通常是由於密碼重複使用），直接進入了0.1%用戶賬戶，即約14000名用戶。擁有這些賬戶權限後，黑客能夠使用DNA Relatives功能來與可能具有相似祖源的其他會員進行配對，並獲取來自數百萬其他賬戶的額外信息。

該公司在週五的聲明中提到，黑客還通過Relatives功能訪問了“大量文件”，其中並未包括上述的具體數字。

Kill表示：“我們至今未發現我們的系統出現數據安全問題的跡象，或者23andMe是這些惡意攻擊的賬戶憑證的來源。”這一表述與現實情況：69萬用戶信息已落入攻擊者手中存在矛盾。大部分用戶之所以受到攻擊影響，是因爲他們選擇了由23andMe提供的功能，然而該公司在防止數據泄露方面做得不足，無論是限制信息訪問還是加強賬戶安全方面。

第一次公開出現問題的跡象是在10月，當時23andMe證實用戶信息在暗網上遭到銷售。之後遺傳測試網站表示，他們正在對黑客聲稱他們泄露了英國400萬名用戶和“居住在美國及西歐的最富有的人”的遺傳資料進行調查。

被泄露的550萬份DNA Relatives檔案包括了在最初的憑證填充攻擊中未被包含的用戶。被泄露的信息包括顯示名字、與其他人的預測關係、與配對用戶共享的DNA量、血統報告、用戶自我上報的位置、祖先出生地點、家庭名字、用戶頭像等。

另有140萬在DNA Relatives功能中被獲取的用戶的家族樹信息也被訪問。該功能也包含了顯示名字、親屬關係標籤、出生年份以及自我上報的位置。但並未包含網站上可能與用戶有關聯的親屬共享的DNA比率或匹配的DNA片段。

23andMe表示，他們正通知所有受到此次數據泄露影響的用戶。該公司已經開始警告用戶重置密碼，並且現在要求所有新老用戶都開啓雙步驗證，這在以前只是一個可選項。