23andMe ungkap data pengguna dicuri dalam serangan credential stuffing

 (bleepingcomputer.com)
1 poin oleh GN⁺ 2023-10-08 | 1 komentar | Bagikan ke WhatsApp
  • 23andMe, perusahaan bioteknologi dan genomik asal AS, telah mengonfirmasi kebocoran data yang berkaitan dengan data pengguna di platformnya.
  • Perusahaan tersebut menyatakan bahwa kebocoran data ini disebabkan oleh serangan credential stuffing.
  • Kebocoran data awal berskala terbatas, dan pelaku ancaman mempublikasikan 1 juta baris data tentang orang-orang keturunan Ashkenazi.
  • Pelaku ancaman kemudian menawarkan untuk menjual profil data dalam jumlah besar dengan harga 1-10 dolar per akun 23andMe.
  • Data yang terekspos mencakup nama lengkap, nama pengguna, foto profil, jenis kelamin, tanggal lahir, hasil leluhur genetik, dan lokasi geografis.
  • Akun yang disusupi berpartisipasi dalam fitur 'DNA Relatives' di platform, yang memungkinkan pengguna menemukan kerabat genetik mereka dan terhubung dengan mereka.
  • Pelaku ancaman mengakses sebagian kecil akun 23andMe lalu mengambil data kecocokan DNA Relatives mereka.
  • 23andMe menyatakan bahwa kredensial login yang digunakan dalam upaya akses ini kemungkinan dikumpulkan oleh pelaku ancaman dari kebocoran data pada insiden yang terjadi di platform online lain tempat pengguna menggunakan ulang kredensial login mereka.
  • Sebagai langkah perlindungan akun tambahan, perusahaan menyediakan autentikasi dua faktor dan mendorong semua pengguna untuk mengaktifkannya.
  • Pengguna disarankan untuk tidak menggunakan ulang kata sandi, serta secara konsisten memakai kredensial yang kuat dan unik untuk semua akun online mereka.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-08
Opini Hacker News
  • Pencurian data pengguna di 23andMe disebabkan oleh serangan credential stuffing yang menggunakan basis data email/kata sandi yang sebelumnya sudah bocor untuk mengakses situs.
  • Masalah ini terjadi karena orang-orang menggunakan ulang kata sandi dan tidak mengaktifkan autentikasi dua faktor.
  • Data yang dijual mencakup email/kata sandi dari pelanggaran lain yang juga berfungsi di 23andMe serta data yang dimiliki 23andMe tentang pengguna tersebut.
  • Insiden ini memunculkan kekhawatiran tentang "hak istimewa transitif" atau "hak istimewa jaringan", yang berarti memberi satu orang akses dapat memungkinkan akses ke orang lain juga.
  • Sebagian pengguna menghindari tes genetik karena kekhawatiran keamanan ini.
  • Ada spekulasi bahwa para peretas mengakses semua data, tetapi hanya membocorkan 1,3 juta catatan Yahudi Ashkenazi.
  • Sebagian pengguna percaya pelanggaran seperti ini akan terus terjadi sampai ada tanggung jawab pidana atas kelalaian dalam penyimpanan/perlindungan data.
  • Kerja sama 23andMe dengan aparat penegak hukum dan kemampuan mengidentifikasi individu berdasarkan sampel DNA sepupu tingkat tiga menimbulkan kekhawatiran privasi.
  • Denda $75.000 yang dibayarkan perusahaan tes genetik 1Health.io kepada FTC karena gagal melindungi data sensitif dianggap sebagai bukti bahwa pemerintah tidak menanggapi privasi secara serius.
  • Beberapa layanan silsilah keluarga dilaporkan meminta kredensial 23andMe milik pengguna, yang menunjukkan lemahnya keamanan di sektor ini.
  • Insiden ini memicu kritik terhadap kepercayaan orang-orang dalam menitipkan informasi genetik mereka kepada perusahaan swasta.