23andMe konfirmasi data pengguna dicuri lewat credential stuffing
(bleepingcomputer.com)- Data pengguna layanan tes genetik 23andMe beredar di forum peretas, dan perusahaan menilai penyebabnya adalah credential stuffing yang menargetkan penggunaan ulang kata sandi
- Penyerang mengakses akun 23andMe.com memakai info login yang terekspos dari pelanggaran di platform online lain, dan sejauh ini perusahaan menyatakan tidak ada tanda kompromi pada sistem internalnya
- Data yang terekspos mencakup informasi dengan tingkat identifikasi pribadi yang tinggi seperti nama asli, nama pengguna, foto profil, jenis kelamin, tanggal lahir, hasil leluhur genetik, lokasi geografis
- Sampel awal berisi 1 juta baris data orang Ashkenazi, lalu pada 4 Oktober berlanjut menjadi tawaran penjualan massal dengan harga 1~10 dolar per akun
- Karena data pencocokan dari akun yang mengaktifkan fitur DNA Relatives ikut discrape, fitur sosial opsional dapat menjadi jalur paparan privasi yang tak terduga
Data 23andMe yang terkonfirmasi di forum peretas
- 23andMe menyadari bahwa data pengguna platformnya sedang beredar di forum peretas, dan menilai kebocoran ini berasal dari serangan credential stuffing
- Perusahaan ini adalah perusahaan bioteknologi dan genomik asal AS yang menyediakan laporan leluhur dan predisposisi genetik ketika pelanggan mengirimkan sampel air liur ke laboratorium
- Seorang pelaku ancaman mempublikasikan sampel data yang diklaim dicuri dari perusahaan genetika, lalu beberapa hari kemudian menawarkan penjualan paket data pelanggan 23andMe
Credential stuffing dan posisi perusahaan
- Juru bicara 23andMe mengonfirmasi bahwa data yang diunggah di forum adalah data 23andMe yang asli
- Penyerang diduga mengakses akun 23andMe menggunakan kredensial yang terekspos dari insiden pelanggaran lain lalu mencuri data sensitif
- Perusahaan menyatakan saat ini tidak ada tanda bahwa insiden keamanan data terjadi di dalam sistemnya sendiri
- Hasil penyelidikan awal menunjukkan info login yang dipakai ulang pengguna di berbagai platform online mungkin bocor dalam insiden lain lalu dikumpulkan oleh penyerang
Cakupan data yang bocor dan dijual
- Data yang dipublikasikan pada awalnya terbatas, tetapi pelaku ancaman merilis 1 juta baris data orang Ashkenazi
- Pada 4 Oktober, mereka menawarkan penjualan massal profil data dengan harga 1~10 dolar per akun 23andMe, tergantung jumlah pembelian
- Informasi yang terekspos mencakup hal-hal berikut
- nama lengkap
- nama pengguna
- foto profil
- jenis kelamin
- tanggal lahir
- hasil leluhur genetik
- lokasi geografis
Penyebaran melalui fitur DNA Relatives
- Jumlah akun yang dijual tidak serta-merta sama dengan jumlah akun 23andMe yang dikompromikan lewat kredensial yang bocor
- Akun-akun yang disusupi tersebut dalam keadaan mengaktifkan fitur DNA Relatives milik 23andMe
- DNA Relatives adalah fitur yang memungkinkan pengguna menemukan dan terhubung dengan kerabat genetik
- Setelah mengakses sejumlah kecil akun 23andMe, penyerang kemudian men-scrape data pencocokan DNA Relatives dari akun tersebut
- Kasus ini menunjukkan bahwa partisipasi dalam fitur tertentu dapat berujung pada paparan privasi yang tidak terduga
Langkah perlindungan yang dapat diambil pengguna
- 23andMe menyediakan verifikasi 2 langkah untuk melindungi akun, dan merekomendasikan semua pengguna untuk mengaktifkannya
- Panduan terkait dapat dilihat di Adding 2-Step Verification to Your 23andMe Account
- Pengguna sebaiknya menghindari penggunaan ulang kata sandi, dan memakai kredensial yang kuat serta berbeda untuk setiap akun online
1 komentar
Opini Hacker News
Kalau saya tidak salah baca, sepertinya seseorang sudah punya basis data email/kata sandi yang bocor, lalu mencobanya ke 23andMe, dan jika berhasil login, mereka mengambil data yang bisa diakses
Memang benar 23andMe menyimpan data yang sangat luas dan pribadi, tetapi serangan seperti ini secara harfiah bisa dilakukan terhadap situs web apa pun
Intinya adalah orang-orang menggunakan ulang kata sandi, dan juga tidak mengaktifkan autentikasi dua faktor
Jadi basis data yang dijual itu hanyalah daftar email/kata sandi dari kebocoran lain yang juga berhasil dipakai di 23andMe, beserta data 23andMe yang ada di akun tersebut
Tepatnya, ini sulit disebut sebagai pembobolan 23andMe sendiri
Saya tidak mengerti mengapa mereka mengizinkan login akun dari IP baru tanpa verifikasi tambahan
Mereka punya email, jadi setidaknya bisa melakukan autentikasi dua faktor berbasis email, dan seperti yang dikatakan orang lain, CAPTCHA juga bisa membuat serangan lebih lambat dan lebih mahal
Di tempat saya bekerja kami memakai keduanya, jadi serangan ini bukan sesuatu yang “secara harfiah bisa dilakukan terhadap situs web apa pun”
Memalukan bahwa perusahaan matang yang bahkan sudah melantai di bursa mengizinkan credential stuffing berskala jutaan akun
Hal paling penting yang bisa diakses orang adalah seluruh profil DNA mentah, dan banyak korban terekspos bukan karena akun mereka sendiri tidak aman, melainkan karena orang-orang yang menyetujui fitur “Relatives”
Haruskah “autentikasi dua faktor dimatikan” diizinkan berdampingan dengan “data yang sangat luas dan pribadi”?
Yang mengecewakan adalah serangan ini berhasil dengan baik dalam skala besar
Di sebagian situs web, serangan seperti ini bisa dijalankan dalam skala besar, tetapi jika memilih metrik yang tepat untuk dipantau dan memasang peringatan, jenis serangan ini akan cukup berisik terlihat di sisi penerima
Mereka mengatakan “saat ini tidak ada indikasi adanya insiden keamanan data di dalam sistem kami,” tetapi jika sistem itu dipakai untuk mengekstrak data pelanggan dan mereka baru menyadarinya setelah data pelanggan dijual, bagian itulah yang harus diperbaiki lebih dulu
Melihat keterlambatan pengungkapan ini, ada kemungkinan mereka baru tahu setelah mendapat pertanyaan dari media
Unduh basis data kata sandi yang sudah di-hash milik Troy Hunt, periksa saat login, dan jika kata sandinya bocor, arahkan ke alur reset kata sandi melalui email
Atau bisa juga memakai API
Sangat sederhana, dan menurut saya sudah menjadi praktik terbaik yang diterima sejak sekitar 2017
Ini 100% tanggung jawab 23andMe
https://haveibeenpwned.com/Passwords
Saya penasaran apakah perusahaan-perusahaan akan mulai meninjau ulang secara serius “hak akses transitif” atau “hak akses jaringan”
Ini sangat mirip dengan kasus besar yang pernah menimpa Facebook
Saya punya hak untuk melihat semua data teman-teman saya, dan dulu dengan satu tombol saya bisa membuat seseorang yang meminta akses melihat bukan hanya informasi saya, tetapi juga informasi teman-teman saya
Dari sudut pandang ilmu komputer, itu masuk akal: jika saya membiarkan seseorang melihat semua data saya, saya tidak lagi bisa mengendalikan dengan siapa orang itu membagikannya lagi
Namun dari sudut pandang manusia, kebanyakan orang tidak menganggap bahwa ketika saya memberi Anda akses, itu pada dasarnya berarti saya memberi akses kepada seluruh dunia
Hak akses jaringan semacam ini menjadikan perusahaan yang memegang data tersebut sebagai target utama
Karena penyerang bisa mendapatkan data yang jauh lebih banyak secara eksponensial hanya dengan meretas beberapa akun
Maksudnya cakupan yang diatur penulis agar terlihat oleh teman dari teman
Menurut cuitan ini, para peretas mungkin mendapatkan seluruh data, tetapi hanya membocorkan sebagian, yaitu 1,3 juta catatan
Katanya bagian itu adalah data Yahudi Ashkenazi
https://x.com/mattjay/status/1710370423311888724?s=20
Yahudi Ashkenazi relatif terisolasi secara genetik dibanding populasi Eropa lainnya, dan berasal dari kelompok pendiri yang relatif kecil
Karena itu, menurut metrik standar mereka terdeteksi sebagai kerabat jauh secara genetik satu sama lain
Artinya pelanggan 23andMe Yahudi Ashkenazi pada umumnya kemungkinan melihat jauh lebih banyak kerabat daripada pelanggan lain, dan dengan demikian bisa melihat lebih banyak profil
Jadi besar kemungkinan ini bukan seluruh data Ashkenazi
Tidak ada bukti bahwa itu seluruh data juga
Saya pikir ini memang ide yang menarik, tetapi justru karena alasan seperti ini saya terus menolak tes genetik semacam ini
Ternyata tidak perlu serumit itu, cukup minta orang-orang mengirimkannya sendiri lewat pos ;)
Namun sepertinya nasi sudah menjadi bubur
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Sepertinya saya tidak akan mencoba layanan seperti ini ke depannya
Saya sudah mengatakannya berkali-kali, tetapi hal seperti ini akan terus terjadi sampai ada pertanggungjawaban pidana atas kelalaian dalam penyimpanan dan perlindungan data
Perusahaan tidak peduli, dan apa pun yang dikatakan PR, mereka tidak akan peduli sampai mereka sendiri benar-benar terancam
Setiap kali terjadi pelanggaran, mereka akan mengulang “kami benar-benar minta maaf” seperti British Petroleum dan membelikan orang LifeLock
Omong kosong total
Menurut artikel, bukan perusahaannya yang dibobol, melainkan akun-akun individual yang memakai ulang kredensial yang terekspos dari pelanggaran lain
Autentikasi dua faktor memang seharusnya ada, tetapi saya tidak berpikir ketiadaan autentikasi dua faktor harus dikriminalisasi
Saya masuk ke situs yang terlihat di tangkapan layar, dan ada seseorang yang menjual materi kebocoran NATO saat kunjungan ke Filipina, katanya “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, dll.”
Ada juga satu daftar lagi basis data warga Ukraina tahun 2023
CIA, tolong jangan bunuh saya! Saya bersumpah hanya melihatnya secara tidak sengaja
Bagaimanapun, saya harus kembali bekerja
75 ribu dolar
Begini cara menunjukkan bahwa pemerintah tidak menganggap privasi serius tanpa perlu mengatakannya
Tiga minggu lalu, perusahaan pengujian genetik 1Health.io setuju membayar denda 75 ribu dolar kepada FTC untuk menyelesaikan tuduhan bahwa mereka tidak melindungi data genetik dan kesehatan yang sensitif dengan semestinya, mengubah kebijakan privasinya secara retroaktif tanpa memberi tahu atau meminta persetujuan pelanggan yang datanya diperoleh, serta menipu pelanggan bahwa mereka bisa menghapus data mereka sendiri
Saya berharap perusahaannya benar-benar runtuh
Tidak ada riset genetik terlarang yang berjalan, premi asuransi tidak naik, dan pembersihan etnis tidak terjadi karena informasi ini
Mungkin ada beberapa kasus pencurian identitas dan penipuan bank, tetapi secara umum sistem yang ada bisa menanganinya
Tertangkap di ujung lain
Kalau ingin denda besar, harus membuktikan kerugian besar
Kalau privasi benar-benar dianggap serius, mereka seharusnya memberi dukungan 75 ribu dolar untuk memperbaiki masalahnya
Kalau 75 ribu dolar diambil dari anggaran engineering, mereka akan makin tidak mampu, dan lebih banyak data akan bocor
Bicara soal dampak privasi dari mengirim DNA untuk di-sequencing “demi hiburan”, 23andMe sudah bekerja sama dengan penegak hukum
Ilmu data juga sudah cukup bagus sehingga, meskipun saya sendiri tidak pernah mengirim sampel DNA, identitas saya bisa diperkirakan jika satu sepupu tingkat tiga saya mengirimkan sampel
Rata-rata orang punya sekitar 200 sepupu tingkat tiga
Misalnya salah satu dari 200 sepupu tingkat tiga saya melakukan tes usap 23andMe, lalu saya melakukan kejahatan, mungkin di sisi lain negara
Penegak hukum mengumpulkan bukti DNA
Lalu apa yang terjadi?
Sejauh yang saya tahu, ada layanan genealogi yang membuat bagan Leeds-Collins, dan cara kerjanya adalah meminta kredensial 23andMe dari pengguna
Mirip dengan sebagian layanan perbankan pihak ketiga yang meminta kredensial bank langsung dari pengguna
Ada banyak sekali praktik keamanan yang buruk di bidang ini
Saya ingin tahu apakah 23andMe mungkin bisa mengirimkan kata sandi akun ayah saya yang hilang beberapa tahun lalu dan sekarang alamat emailnya juga sudah tidak ada
Kalau ada di sana, mereka mungkin juga punya kata sandinya