1 poin oleh GN⁺ 2023-10-08 | 1 komentar | Bagikan ke WhatsApp
  • Data pengguna layanan tes genetik 23andMe beredar di forum peretas, dan perusahaan menilai penyebabnya adalah credential stuffing yang menargetkan penggunaan ulang kata sandi
  • Penyerang mengakses akun 23andMe.com memakai info login yang terekspos dari pelanggaran di platform online lain, dan sejauh ini perusahaan menyatakan tidak ada tanda kompromi pada sistem internalnya
  • Data yang terekspos mencakup informasi dengan tingkat identifikasi pribadi yang tinggi seperti nama asli, nama pengguna, foto profil, jenis kelamin, tanggal lahir, hasil leluhur genetik, lokasi geografis
  • Sampel awal berisi 1 juta baris data orang Ashkenazi, lalu pada 4 Oktober berlanjut menjadi tawaran penjualan massal dengan harga 1~10 dolar per akun
  • Karena data pencocokan dari akun yang mengaktifkan fitur DNA Relatives ikut discrape, fitur sosial opsional dapat menjadi jalur paparan privasi yang tak terduga

Data 23andMe yang terkonfirmasi di forum peretas

  • 23andMe menyadari bahwa data pengguna platformnya sedang beredar di forum peretas, dan menilai kebocoran ini berasal dari serangan credential stuffing
  • Perusahaan ini adalah perusahaan bioteknologi dan genomik asal AS yang menyediakan laporan leluhur dan predisposisi genetik ketika pelanggan mengirimkan sampel air liur ke laboratorium
  • Seorang pelaku ancaman mempublikasikan sampel data yang diklaim dicuri dari perusahaan genetika, lalu beberapa hari kemudian menawarkan penjualan paket data pelanggan 23andMe

Credential stuffing dan posisi perusahaan

  • Juru bicara 23andMe mengonfirmasi bahwa data yang diunggah di forum adalah data 23andMe yang asli
  • Penyerang diduga mengakses akun 23andMe menggunakan kredensial yang terekspos dari insiden pelanggaran lain lalu mencuri data sensitif
  • Perusahaan menyatakan saat ini tidak ada tanda bahwa insiden keamanan data terjadi di dalam sistemnya sendiri
  • Hasil penyelidikan awal menunjukkan info login yang dipakai ulang pengguna di berbagai platform online mungkin bocor dalam insiden lain lalu dikumpulkan oleh penyerang

Cakupan data yang bocor dan dijual

  • Data yang dipublikasikan pada awalnya terbatas, tetapi pelaku ancaman merilis 1 juta baris data orang Ashkenazi
  • Pada 4 Oktober, mereka menawarkan penjualan massal profil data dengan harga 1~10 dolar per akun 23andMe, tergantung jumlah pembelian
  • Informasi yang terekspos mencakup hal-hal berikut
    • nama lengkap
    • nama pengguna
    • foto profil
    • jenis kelamin
    • tanggal lahir
    • hasil leluhur genetik
    • lokasi geografis

Penyebaran melalui fitur DNA Relatives

  • Jumlah akun yang dijual tidak serta-merta sama dengan jumlah akun 23andMe yang dikompromikan lewat kredensial yang bocor
  • Akun-akun yang disusupi tersebut dalam keadaan mengaktifkan fitur DNA Relatives milik 23andMe
  • DNA Relatives adalah fitur yang memungkinkan pengguna menemukan dan terhubung dengan kerabat genetik
  • Setelah mengakses sejumlah kecil akun 23andMe, penyerang kemudian men-scrape data pencocokan DNA Relatives dari akun tersebut
  • Kasus ini menunjukkan bahwa partisipasi dalam fitur tertentu dapat berujung pada paparan privasi yang tidak terduga

Langkah perlindungan yang dapat diambil pengguna

  • 23andMe menyediakan verifikasi 2 langkah untuk melindungi akun, dan merekomendasikan semua pengguna untuk mengaktifkannya
  • Panduan terkait dapat dilihat di Adding 2-Step Verification to Your 23andMe Account
  • Pengguna sebaiknya menghindari penggunaan ulang kata sandi, dan memakai kredensial yang kuat serta berbeda untuk setiap akun online

1 komentar

 
GN⁺ 2023-10-08
Opini Hacker News
  • Kalau saya tidak salah baca, sepertinya seseorang sudah punya basis data email/kata sandi yang bocor, lalu mencobanya ke 23andMe, dan jika berhasil login, mereka mengambil data yang bisa diakses
    Memang benar 23andMe menyimpan data yang sangat luas dan pribadi, tetapi serangan seperti ini secara harfiah bisa dilakukan terhadap situs web apa pun
    Intinya adalah orang-orang menggunakan ulang kata sandi, dan juga tidak mengaktifkan autentikasi dua faktor
    Jadi basis data yang dijual itu hanyalah daftar email/kata sandi dari kebocoran lain yang juga berhasil dipakai di 23andMe, beserta data 23andMe yang ada di akun tersebut
    Tepatnya, ini sulit disebut sebagai pembobolan 23andMe sendiri

    • Sekalipun begitu, 23andMe seharusnya bisa mencegahnya dengan lebih baik
      Saya tidak mengerti mengapa mereka mengizinkan login akun dari IP baru tanpa verifikasi tambahan
      Mereka punya email, jadi setidaknya bisa melakukan autentikasi dua faktor berbasis email, dan seperti yang dikatakan orang lain, CAPTCHA juga bisa membuat serangan lebih lambat dan lebih mahal
      Di tempat saya bekerja kami memakai keduanya, jadi serangan ini bukan sesuatu yang “secara harfiah bisa dilakukan terhadap situs web apa pun”
      Memalukan bahwa perusahaan matang yang bahkan sudah melantai di bursa mengizinkan credential stuffing berskala jutaan akun
    • Sepertinya tidak seharusnya dibaca begitu
      Hal paling penting yang bisa diakses orang adalah seluruh profil DNA mentah, dan banyak korban terekspos bukan karena akun mereka sendiri tidak aman, melainkan karena orang-orang yang menyetujui fitur “Relatives”
    • Boleh saya bertanya satu hal:
      Haruskah “autentikasi dua faktor dimatikan” diizinkan berdampingan dengan “data yang sangat luas dan pribadi”?
    • Memang benar ini bukan serangan yang canggih
      Yang mengecewakan adalah serangan ini berhasil dengan baik dalam skala besar
      Di sebagian situs web, serangan seperti ini bisa dijalankan dalam skala besar, tetapi jika memilih metrik yang tepat untuk dipantau dan memasang peringatan, jenis serangan ini akan cukup berisik terlihat di sisi penerima
      Mereka mengatakan “saat ini tidak ada indikasi adanya insiden keamanan data di dalam sistem kami,” tetapi jika sistem itu dipakai untuk mengekstrak data pelanggan dan mereka baru menyadarinya setelah data pelanggan dijual, bagian itulah yang harus diperbaiki lebih dulu
      Melihat keterlambatan pengungkapan ini, ada kemungkinan mereka baru tahu setelah mendapat pertanyaan dari media
    • Situs web harus memitigasi credential stuffing dengan memeriksa terhadap kata sandi yang sudah diketahui berhasil dipecahkan
      Unduh basis data kata sandi yang sudah di-hash milik Troy Hunt, periksa saat login, dan jika kata sandinya bocor, arahkan ke alur reset kata sandi melalui email
      Atau bisa juga memakai API
      Sangat sederhana, dan menurut saya sudah menjadi praktik terbaik yang diterima sejak sekitar 2017
      Ini 100% tanggung jawab 23andMe
      https://haveibeenpwned.com/Passwords
  • Saya penasaran apakah perusahaan-perusahaan akan mulai meninjau ulang secara serius “hak akses transitif” atau “hak akses jaringan”
    Ini sangat mirip dengan kasus besar yang pernah menimpa Facebook
    Saya punya hak untuk melihat semua data teman-teman saya, dan dulu dengan satu tombol saya bisa membuat seseorang yang meminta akses melihat bukan hanya informasi saya, tetapi juga informasi teman-teman saya
    Dari sudut pandang ilmu komputer, itu masuk akal: jika saya membiarkan seseorang melihat semua data saya, saya tidak lagi bisa mengendalikan dengan siapa orang itu membagikannya lagi
    Namun dari sudut pandang manusia, kebanyakan orang tidak menganggap bahwa ketika saya memberi Anda akses, itu pada dasarnya berarti saya memberi akses kepada seluruh dunia
    Hak akses jaringan semacam ini menjadikan perusahaan yang memegang data tersebut sebagai target utama
    Karena penyerang bisa mendapatkan data yang jauh lebih banyak secara eksponensial hanya dengan meretas beberapa akun

    • Bukankah yang terlihat bukan semua informasi teman, melainkan hanya subset yang dibagikan teman itu
      Maksudnya cakupan yang diatur penulis agar terlihat oleh teman dari teman
  • Menurut cuitan ini, para peretas mungkin mendapatkan seluruh data, tetapi hanya membocorkan sebagian, yaitu 1,3 juta catatan
    Katanya bagian itu adalah data Yahudi Ashkenazi
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Kalau begitu, itu menjelaskan mengapa dengan jumlah akun yang diretas sedikit mereka bisa mendapatkan data sebanyak itu
      Yahudi Ashkenazi relatif terisolasi secara genetik dibanding populasi Eropa lainnya, dan berasal dari kelompok pendiri yang relatif kecil
      Karena itu, menurut metrik standar mereka terdeteksi sebagai kerabat jauh secara genetik satu sama lain
      Artinya pelanggan 23andMe Yahudi Ashkenazi pada umumnya kemungkinan melihat jauh lebih banyak kerabat daripada pelanggan lain, dan dengan demikian bisa melihat lebih banyak profil
    • Saya pengguna 23andMe dan punya kadar keturunan Ashkenazi yang tinggi, jadi saya memperkirakan data saya juga bocor, tetapi ternyata tidak ada
      Jadi besar kemungkinan ini bukan seluruh data Ashkenazi
    • Cuitan itu sama sekali tidak menunjukkan bukti bahwa ini lebih dari sekadar penggunaan kata sandi yang digunakan ulang
      Tidak ada bukti bahwa itu seluruh data juga
    • Meski hidup seratus tahun, sepertinya saya tetap tidak akan paham mengapa orang-orang terobsesi pada orang Yahudi
    • Lagi-lagi teror neo-Nazi, tahun 2020-an memang menyenangkan /s
  • Saya pikir ini memang ide yang menarik, tetapi justru karena alasan seperti ini saya terus menolak tes genetik semacam ini

    • Bukan hanya itu, Anda juga harus mencegah seluruh kerabat ikut tes
    • Saya ingat ada lelucon di Simpsons ketika Homer mengetahui pemerintah punya DNA semua orang dalam berkas, lalu saat ia bertanya, jawabannya kira-kira “semua orang yang pernah menyentuh penny sejak 1932”
      Ternyata tidak perlu serumit itu, cukup minta orang-orang mengirimkannya sendiri lewat pos ;)
    • Saya juga begitu, dan saya berharap ada regulasi untuk melindungi data ini
      Namun sepertinya nasi sudah menjadi bubur
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • Bukankah bisa memakai nama palsu?
    • Saya juga sama
      Sepertinya saya tidak akan mencoba layanan seperti ini ke depannya
  • Saya sudah mengatakannya berkali-kali, tetapi hal seperti ini akan terus terjadi sampai ada pertanggungjawaban pidana atas kelalaian dalam penyimpanan dan perlindungan data
    Perusahaan tidak peduli, dan apa pun yang dikatakan PR, mereka tidak akan peduli sampai mereka sendiri benar-benar terancam
    Setiap kali terjadi pelanggaran, mereka akan mengulang “kami benar-benar minta maaf” seperti British Petroleum dan membelikan orang LifeLock
    Omong kosong total

    • Saya tidak mengerti mengapa 23andMe harus bertanggung jawab secara pidana
      Menurut artikel, bukan perusahaannya yang dibobol, melainkan akun-akun individual yang memakai ulang kredensial yang terekspos dari pelanggaran lain
      Autentikasi dua faktor memang seharusnya ada, tetapi saya tidak berpikir ketiadaan autentikasi dua faktor harus dikriminalisasi
  • Saya masuk ke situs yang terlihat di tangkapan layar, dan ada seseorang yang menjual materi kebocoran NATO saat kunjungan ke Filipina, katanya “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, dll.”
    Ada juga satu daftar lagi basis data warga Ukraina tahun 2023
    CIA, tolong jangan bunuh saya! Saya bersumpah hanya melihatnya secara tidak sengaja
    Bagaimanapun, saya harus kembali bekerja

    • Situsnya yang mana?
  • 75 ribu dolar
    Begini cara menunjukkan bahwa pemerintah tidak menganggap privasi serius tanpa perlu mengatakannya
    Tiga minggu lalu, perusahaan pengujian genetik 1Health.io setuju membayar denda 75 ribu dolar kepada FTC untuk menyelesaikan tuduhan bahwa mereka tidak melindungi data genetik dan kesehatan yang sensitif dengan semestinya, mengubah kebijakan privasinya secara retroaktif tanpa memberi tahu atau meminta persetujuan pelanggan yang datanya diperoleh, serta menipu pelanggan bahwa mereka bisa menghapus data mereka sendiri

    • Kalimat narsistis “welcome to you” di kemasannya saja sudah membuat saya ingin muntah, dan untuk kasus ini dendanya cuma 75 ribu dolar
      Saya berharap perusahaannya benar-benar runtuh
    • Dampak mengerikan yang sering dibicarakan orang ketika data seperti ini bocor sebenarnya tidak terlihat
      Tidak ada riset genetik terlarang yang berjalan, premi asuransi tidak naik, dan pembersihan etnis tidak terjadi karena informasi ini
      Mungkin ada beberapa kasus pencurian identitas dan penipuan bank, tetapi secara umum sistem yang ada bisa menanganinya
      Tertangkap di ujung lain
      Kalau ingin denda besar, harus membuktikan kerugian besar
    • Seperti biasa, kapitalisme berjalan terbalik
      Kalau privasi benar-benar dianggap serius, mereka seharusnya memberi dukungan 75 ribu dolar untuk memperbaiki masalahnya
      Kalau 75 ribu dolar diambil dari anggaran engineering, mereka akan makin tidak mampu, dan lebih banyak data akan bocor
  • Bicara soal dampak privasi dari mengirim DNA untuk di-sequencing “demi hiburan”, 23andMe sudah bekerja sama dengan penegak hukum
    Ilmu data juga sudah cukup bagus sehingga, meskipun saya sendiri tidak pernah mengirim sampel DNA, identitas saya bisa diperkirakan jika satu sepupu tingkat tiga saya mengirimkan sampel
    Rata-rata orang punya sekitar 200 sepupu tingkat tiga

    • Bisa jelaskan lebih lanjut bagaimana itu bekerja?
      Misalnya salah satu dari 200 sepupu tingkat tiga saya melakukan tes usap 23andMe, lalu saya melakukan kejahatan, mungkin di sisi lain negara
      Penegak hukum mengumpulkan bukti DNA
      Lalu apa yang terjadi?
    • Apakah penegak hukum bisa mengirim kueri ke basis data 23andMe dengan DNA yang mereka ambil?
  • Sejauh yang saya tahu, ada layanan genealogi yang membuat bagan Leeds-Collins, dan cara kerjanya adalah meminta kredensial 23andMe dari pengguna
    Mirip dengan sebagian layanan perbankan pihak ketiga yang meminta kredensial bank langsung dari pengguna
    Ada banyak sekali praktik keamanan yang buruk di bidang ini

    • Dulu sempat ada OAuth2 API 23andMe dan SNP disediakan sebagai cakupan OAuth, jadi situasi seperti ini makin disayangkan
  • Saya ingin tahu apakah 23andMe mungkin bisa mengirimkan kata sandi akun ayah saya yang hilang beberapa tahun lalu dan sekarang alamat emailnya juga sudah tidak ada