基因測試公司 23andMe 證實駭客竊取了涉及 690 萬使用者的家族資料
事件概述
週五,基因檢測公司 23andMe 宣布駭客存取了 0.1% 的使用者個人資料,約 14,000 人受影響。公司表示駭客透過存取這些帳戶,也能夠存取「大量檔案,其中包含其他使用者家族血統的個人資訊」,而這項違規行為最初於十月初被揭露。然而根據 23andMe 發言人 Katie Watson 在週六晚間傳送給 TechCrunch 的郵件,確認駭客存取了約 550 萬人的個人資訊,這些人選擇了 23andMe 的 DNA 親屬功能,該功能允許客戶自動與他人分享部分資料。被竊取的資料包括姓名、出生年份、親屬關係標籤、與親屬分享的 DNA 百分比、家族血統報告和自報地點。此外還有約 140 萬人的「家族樹」個人資訊也被存取,其中包括顯示名稱、親屬關係標籤、出生年份、自報地點以及使用者是否選擇分享他們的資訊。考慮到這些新數位,事實上這次資料違規事件已知影響了大約 23andMe 共報告的 14 百萬客戶的一半左右。駭客行為及對使用者的影響
十月初,一名駭客在知名的駭客論壇上聲稱竊取了 23andMe 使用者的 DNA 資訊。作為入侵的證實,駭客公開了價值 $1 至 $10 不等的大量使用者資料,包括 100 萬名猶太阿什肯納茨血統和 10 萬名中國使用者。兩周後,同一駭客在同一駭客論壇上宣稱另外四百萬人的資料也被竊取。TechCrunch 發現,另一名駭客在另一個駭客論壇上已於此前兩個月宣揚一批據稱竊取的 23andMe 使用者資料。當 TechCrunch 分析了數月前的洩露資料後發現,部分記錄與業餘愛好者和系譜學家線上公開的基因資料相符。兩組資訊格式不同,但包括部分相同的獨特使用者和一般資料,這顯示了駭客洩露的資料至少部分是真實的 23andMe 使用者資料。資料安全及個人隱私
在十月初揭露事件時,23andMe 表示資料違規事件是由於使用者重複使用密碼,這使得駭客能夠利用其他公司資料違規事件中公開的已知密碼對受害者進行暴力破解。由於 DNA 親屬功能匹配使用者與其親屬,透過入侵一個個人帳戶,駭客能夠檢視該帳戶持有人以及他們親屬的個人資料,從而擴大了 23andMe 受害者的總數。社會影響及未來建議
這次事件凸顯出個人資料安全的重要性,尤其是在涉及生物訊息的情況下。駭客竊取個人家族血統資訊的行為有可能對個人產生深遠的影響,包括隱私風險和潛在的身份盜竊。面對這樣的情況,公司應當更加積極地加固其資料安全措施,並培訓使用者加固他們個人資訊的保護意識。同時監管機構也應該加固對於基因資料相關公司的監管和規範,確保使用者可以透過法律手段保護其資料隱私。總而言之,面對不斷演變的科技發展,個人資料保護應當成為一個不斷被重視和改善的議題。關鍵詞: 基因測試-23andMe, 駭客, 竊取, 使用者資料, 家族血統, 資料安全
如果您就 23andMe 事件有更多資訊想分享,歡迎與我們聯絡。您可以安全地透過 Signal(+1 917 257 1382)、Telegram、Keybase 或 Wire(@lorenzofb),或者傳送郵件至 lorenzo 與 Lorenzo Franceschi-Bicchierai 聯絡。您也可以透過 SecureDrop 與 TechCrunch 聯絡。
Genetics-23andMe,駭客,竊取,使用者資料,家族血統,資料安全
