1 poin oleh GN⁺ 2023-10-19 | 1 komentar | Bagikan ke WhatsApp
  • Dua minggu setelah kebocoran data pengguna 23andMe pertama kali terungkap, peretas yang sama memublikasikan dataset baru berisi 4 juta orang di BreachForums
  • Peretas bernama Golem mengklaim dataset baru itu mencakup pengguna asal Great Britain, serta informasi tentang “orang-orang terkaya yang tinggal di Amerika Serikat dan Eropa Barat”
  • TechCrunch mengonfirmasi bahwa sebagian data baru yang bocor cocok dengan informasi pengguna dan genetik 23andMe yang telah dipublikasikan
  • Setelah mengetahui kebocoran baru ini, 23andMe sedang meninjau keaslian data tersebut, dan sebelumnya telah mengarahkan pengguna untuk mengganti kata sandi serta mengaktifkan autentikasi multifaktor
  • Metode intrusi sebenarnya, skala penuh kebocoran, dan tujuan penggunaan data yang dicuri belum terkonfirmasi, sehingga pengguna 23andMe masih menghadapi risiko tambahan

Data tambahan yang dipublikasikan di BreachForums

  • Seorang peretas bernama Golem memublikasikan dataset baru berisi 4 juta data pengguna 23andMe di forum kejahatan siber BreachForums
  • Peretas ini adalah orang yang sama yang dua minggu sebelumnya juga membocorkan kumpulan data pengguna yang dicuri dari perusahaan tes genetik 23andMe
  • TechCrunch mengonfirmasi bahwa sebagian data yang baru bocor cocok dengan informasi pengguna dan genetik 23andMe yang telah dipublikasikan
  • Golem mengklaim dataset tersebut mencakup informasi orang-orang asal Great Britain
    • Ia juga mengklaim daftar itu mencakup data “orang-orang terkaya yang tinggal di Amerika Serikat dan Eropa Barat”
  • Juru bicara 23andMe, Andy Kill, mengatakan perusahaan telah mengetahui kebocoran baru tersebut dan sedang meninjau apakah data itu benar-benar data 23andMe

Penjelasan insiden dari 23andMe dan langkah keamanan akun

  • Pada 6 Oktober, 23andMe mengumumkan bahwa peretas telah memperoleh sebagian data pengguna, dan menjelaskan bahwa peretas menggunakan credential stuffing
    • Credential stuffing adalah teknik mencoba kombinasi nama pengguna/email dan kata sandi yang sudah terungkap dari kebocoran data lain
  • Sebagai respons insiden, 23andMe mewajibkan pengguna mengganti kata sandi dan menyarankan pengaktifan autentikasi multifaktor
  • Menurut halaman respons insiden resmi, 23andMe memulai investigasi dengan bantuan “pakar forensik pihak ketiga”
  • Perusahaan menunjuk penggunaan ulang kata sandi oleh pelanggan dan fitur opsional DNA Relatives sebagai penyebab insiden
    • DNA Relatives adalah fitur yang memungkinkan pengguna melihat data pengguna lain yang ikut serta secara opsional dan memiliki kecocokan data genetik
    • Jika fitur ini aktif, peretas dapat membobol satu akun lalu melakukan scraping data beberapa pengguna

Pertanyaan yang belum terjawab

  • Belum jelas apakah peretas benar-benar menggunakan credential stuffing atau memakai teknik lain
  • Total volume data pengguna yang dicuri belum diketahui
  • Bagaimana peretas berniat menggunakan data tersebut juga belum terkonfirmasi
  • Insiden ini kemungkinan telah dilakukan, atau setidaknya dimulai, beberapa bulan lalu
    • Pada 11 Agustus, seorang peretas mengiklankan set data pengguna 23andMe di forum kejahatan siber lain bernama Hydra
    • Menurut analisis TechCrunch, set data itu cocok dengan sebagian catatan pengguna yang bocor dua minggu lalu
    • Peretas di Hydra mengklaim memiliki 300TB data pengguna 23andMe, tetapi tidak memberikan bukti
  • Hingga saat ini, cakupan penuh kebocoran data belum jelas, dan 23andMe tampaknya juga belum mengetahui berapa banyak data yang telah dicuri

1 komentar

 
GN⁺ 2023-10-19
Komentar Hacker News
  • Menyalahkan penggunaan ulang kata sandi oleh pelanggan dan DNA Relatives, fitur opt-in yang memungkinkan pengguna melihat data peserta lain yang cocok secara genetik, hanyalah cara 23andMe mengaburkan inti masalah
    Opsi berbagi DNA Relatives kurang terperinci, dan pada dasarnya hanya ada sekitar dua tingkat, jadi tidak memadai
    Selain itu, 23andMe membatasi tampilan hanya sampai 1.500 orang terdekat di antara mereka yang ikut DNA Relatives; dengan struktur seperti ini, jika peretas menguasai beberapa ribu akun saja, mereka kemungkinan bisa mengumpulkan haplogroup, prediksi asal etnis, nama, profil, daftar kerabat, dan informasi asal geografis dari sebagian besar database
    Batas 1.500 orang ini secara teori membantu, tetapi belakangan selama beberapa waktu profil di luar cakupan itu juga bisa dilihat, dan tidak jelas apakah itu menjadi bagian dari cara penyalahgunaannya

    • Di halaman “DNA Relatives” milik 23andMe tertulis seperti ini: “Jika Anda memilih untuk berpartisipasi dalam fitur DNA Relatives, ada berbagai opsi privasi yang dapat disesuaikan dengan preferensi pribadi Anda. Untuk privasi penuh, Anda dapat sepenuhnya keluar dari DNA Relatives.”
      Kalau untuk mendapatkan privasi penuh harus keluar, saya tidak mengerti bagaimana ini bisa disebut fitur opt-in
      Juga tidak jelas apa arti privasi penuh di sini, dan bagaimana bedanya dengan privasi yang secara wajar bisa diharapkan
      Menurut saya klaim perusahaan bahwa fitur ini bersifat opt-in tidak masuk akal
    • Perusahaan yang benar-benar buruk. Tanggung jawab melindungi data yang disimpan bukan ada pada pengguna, melainkan sepenuhnya pada perusahaan
      Jika pengguna memakai ulang kata sandi, itu mungkin penyebab satu akun dibobol, tetapi perusahaan seharusnya bisa dengan mudah memitigasi agar dampaknya tidak meluas
    • Saya tidak mengerti mengapa lebih banyak perusahaan tidak menerapkan pembatasan permintaan dan deteksi penyalahgunaan yang masuk akal
      Seharusnya tidak mungkin mengeruk data jutaan orang hanya dengan sekumpulan akun yang diretas
    • Poin nomor 2 terlihat sangat mirip dengan cara Cambridge Analytica membocorkan data Facebook secara massal
      Saya penasaran apakah CEO 23andMe juga akan diseret-seret ke Kongres selama 10 tahun ke depan
    • Pada akhirnya ini cuma jejaring sosial berbasis DNA
  • Menggunakan 23andMe adalah salah satu penyesalan terbesar dalam hidup saya. Saya melakukannya saat ada diskon di Amazon, sebelum saya peduli soal privasi
    Walau saya meminta penghapusan, saya sama sekali tidak percaya mereka benar-benar akan menghapus data saya, dan kalaupun dihapus, saya tidak tahu apakah data itu sudah masuk dan tetap hidup di suatu model atau riset di suatu tempat
    Sebagian diri saya juga tidak ingin tahu apakah data saya termasuk dalam kebocoran ini. Rasanya berbeda dari kebocoran kartu kredit atau data belanja
    Yang lebih buruk, saya sudah lama tidak masuk ke 23andMe, dan kemungkinan besar itu sebelum saya benar-benar memperhatikan keamanan kata sandi, jadi saya tidak akan terkejut

    • Mungkin tidak terlalu penting. Model pencocokan genetik masih sangat primitif sehingga data itu mungkin tidak begitu bernilai
      Facebook dan Google punya gambaran yang jauh lebih akurat untuk memanipulasi orang, sementara 23andMe tidak lebih dari sekadar rasa penasaran
      Data saya juga mungkin masuk dalam kebocoran ini, tetapi saya tidak akan menghabiskan sedetik pun hidup saya untuk menyesalinya
      Tinggal tunggu saja apakah bisa mendapat sesuatu dari gugatan kelompok. Kalau, seperti peretasan Experian, saya menerima cek yang menyedihkan kecilnya lewat pos, setidaknya ada satu benda yang bisa ditaruh di meja kopi
    • Saya juga penasaran lalu memakai salah satu layanan besar, dan kemungkinan besar sekarang layanan itu juga sudah diretas
      Namun saya mendaftar dengan nama samaran, memberikan kit tes kepada ayah saya, dan juga meminta seorang bibi saya ikut tes
      Hasilnya tidak akurat, tetapi cukup untuk memuaskan rasa penasaran
      Pada akhirnya semuanya akan diretas suatu hari nanti. Seperti kata seorang peretas terkenal, kita harus berasumsi bahwa semua yang dikatakan atau ditulis suatu hari akan menjadi informasi publik
      Sebagai tambahan, mungkin ada yang berkata “bagaimana bisa kamu melakukan itu kepada ayahmu”, tetapi kalau mengenal beliau, kalian akan mengerti. Beliau hidup hampir sepenuhnya off-grid dan tak lama lagi akan meninggal, sementara bibi saya sudah meninggal
    • Kalau yang dimaksud dengan “data itu masuk dan tetap hidup di suatu model atau riset” adalah hal seperti pengembangan obat baru atau riset medis, saya tidak tahu mengapa itu buruk
    • Setahu saya, kasus ini strukturnya membuat Anda hampir pasti ikut tercakup meskipun Anda sendiri tidak melakukan kesalahan, selama Anda hanya memiliki hubungan keluarga dengan orang yang melakukan kesalahan
    • Maksudnya Anda tidak mengajukan permintaan penghapusan? Kalau sudah dihapus, kemungkinan besar peretas tidak memiliki datanya
  • Saya salah satu korban kebocoran ini. Secara teknis saya melek teknologi, paham keamanan, dan memakai kata sandi yang unik serta aman di semua tempat
    Perusahaan ini dan omong kosong mereka yang melempar tanggung jawab benar-benar menjijikkan
    Ini tak ada bedanya dengan doxxing korporat. Hal seperti ini akan terus berulang sampai para eksekutif individu di perusahaan raksasa yang meludahi wajah pengguna seperti ini dimintai pertanggungjawaban pribadi
    Karena sampai saat itu, mereka tidak punya kewajiban untuk benar-benar peduli. Kita hanya bahan baku yang dimasukkan ke mesin pencetak uang
    Yang lebih membuat marah daripada kebocorannya sendiri adalah ketiadaan akuntabilitas
    Saya terkejut melihat suasana komentar yang menyalahkan korban

    • 23andMe tampaknya ingin membuat orang percaya bahwa puluhan ribu akun pelanggan diretas lewat serangan credential stuffing
      Kalau diasumsikan ada 1.500 kecocokan per orang dan kerabatnya tidak saling tumpang tindih, untuk mencapai skala data yang bocor, sekitar 14 juta orang, dibutuhkan kira-kira 10 ribu akun yang berhasil diretas
      Kenyataannya banyak orang memiliki kerabat yang tumpang tindih, jadi harus ada jauh lebih banyak dari 10 ribu akun yang diserang, dan selama itu 23andMe sama sekali tidak menyadari sesuatu yang mencurigakan. Ini sangat tidak masuk akal
      23andMe mengklaim akar penyebab kebocoran ini adalah credential stuffing, tetapi para peretas yang pertama kali mempostingnya di Hydra Market dua bulan lalu mengklaim bahwa mereka sekadar menggunakan atau menyalahgunakan API yang disediakan 23andMe kepada mitra akademik dan riset
      Para peretas mengklaim memiliki 300 TB, termasuk data mentah, tetapi sejauh ini belum memberikan bukti bahwa cakupan serangannya sebesar itu. Namun jika klaim itu benar, pembobolan ini lebih cocok dengan klaim penggunaan API daripada credential stuffing
      Jadi jika skala yang disebut penyerang benar, jauh lebih mungkin seluruh data dikeruk lewat salah satu API 23andMe daripada lewat credential stuffing. Bisa jadi salah satu peneliti mitra diretas, atau ada—atau masih ada—celah kontrol akses API yang memungkinkan penyerang mengeruk ulang semua data
      Tidak banyak informasi tentang API yang disediakan 23andMe, tetapi saya menemukan satu di RapidAPI (https://rapidapi.com/23andme/api/23andme); jika ada celah kontrol akses atau peretasan pengguna dengan eskalasi hak akses, satu individu saja bisa dijadikan titik awal untuk mengunduh data dari berbagai endpoint, lalu secara rekursif mengikuti semua kerabat lewat endpoint kerabat dan mengunduh setiap orang sekali. Bahkan ada endpoint genom lengkap per individu
      Untuk saat ini saya sangat meragukan pembelaan 23andMe, tetapi sebelum penyerang mempublikasikan bukti bahwa mereka memiliki data mentah, sulit membuktikan bahwa perusahaan keliru atau berbohong soal skala serangan sebenarnya. Meski begitu, klaim bahwa API digunakan jauh lebih masuk akal daripada skenario yang diajukan 23andMe, dan karena itu sangat mengkhawatirkan
    • Aneh bahwa orang begitu permisif ketika kreator OnlyFans mengirim video dan suara dari fenotipe mereka sendiri, tetapi 23andMe menangkap manusia sampai level source code tidak dianggap cabul
    • Kalau Anda mengunggah data DNA Anda ke internet, sudah waktunya meninjau lagi dasar-dasar keamanan
    • Saya tidak mengerti mengapa orang yang paham teknologi ikut serta dalam honeypot seperti ini. Saya ingin tahu apa yang mereka percayai sehingga merasa bisa mempercayainya
    • Apakah saat membeli Anda memakai nama palsu dan kartu debit prabayar? Saya bersyukur melakukannya begitu
      Tentu saja, kalau benar-benar mau, mereka masih bisa melacak saya berdasarkan kerabat yang memakai platform itu
  • Katanya “23andMe menyalahkan pelanggan karena memakai ulang kata sandi”; entah bagaimana persisnya mereka mengungkapkannya, ini adalah kekurangan perusahaan, bukan pelanggan
    Pelanggan memang memakai ulang kata sandi dan akan terus begitu. Untuk informasi identitas pribadi yang sensitif, jauh lebih mudah memaksakan autentikasi dua faktor atau Google SSO daripada mencoba mengubah perilaku pelanggan

    • Saya sulit percaya bahkan satu detik pun bahwa jutaan akun di satu platform dibobol lewat credential stuffing karena kata sandi yang dipakai ulang
    • Setuju. Mereka bisa saja memakai verifikasi tautan email sehingga pengguna tidak perlu mengatur autentikasi dua faktor sendiri
    • Autentikasi dua faktor memang ada, tetapi kemungkinan ada jutaan akun yang dibuat sebelum fitur itu hadir dan belum login lagi untuk mengaturnya
      Metodenya memakai aplikasi autentikator yang lebih aman daripada SMS, tetapi karena lebih merepotkan untuk membuat pengguna mengaktifkannya, itu mungkin memengaruhi tingkat adopsi
    • Ini kegagalan karena tidak mewajibkan autentikasi multifaktor
  • Jika data pelanggan sebesar 300 TB bocor tanpa disadari 23andMe, itu tampak seperti kelalaian. Bukankah seharusnya ada alarm?

    • “Bob, kenapa tagihan AWS bulan ini tinggi sekali… oh sial”
    • Jika ini bukan credential stuffing, mereka mungkin mengeluarkan beberapa GB per hari per IP agar tidak terdeteksi anomali volume
      Meski begitu, 23andMe seharusnya memiliki deteksi atau kontrol yang menandai lokasi geografis baru untuk penyimpanan pelanggan. Sebab kecil kemungkinan mereka memalsukan tujuan untuk setiap pelanggan
      Atau, saat mengakses data dengan akun tingkat admin, seharusnya ada prosedur otorisasi dengan jejak audit dan alur persetujuan
  • Mengejutkan bahwa mereka mencoba menutupi kegagalan keamanan sistem sendiri dengan menyalahkan pelanggan yang membayar
    Anda tidak bisa mengendalikan pengguna, tetapi Anda bisa mengendalikan postur keamanan. Sikap dan penilaian manajemen 23andMe buruk sekali

    • Sikap yang terasa dari respons seperti ini bukan “maaf karena data bocor”, melainkan lebih seperti “sayang sekali kami tidak bisa lagi menghasilkan uang dari data itu”
      Produk 23andMe adalah DNA pengguna, hanya saja dikemas rapi dalam bentuk yang mudah dicerna
  • Kalau mereka tidak mendeteksi jutaan catatan dicuri lewat credential stuffing, itu juga bukan alasan yang lebih baik bagi perusahaan
    Saya mungkin sudah mati duluan sebelum melihat perusahaan bertanggung jawab atas tindakannya, jadi ini pun tidak mengejutkan

  • 23andMe muncul ketika saya masih SMA, dan salah satu guru sains saya menghabiskan satu jam pelajaran penuh untuk menjelaskan mengapa kami sama sekali tidak boleh menggunakan layanan itu
    Jujur itu salah satu pelajaran paling bernilai yang pernah saya dengar, dan berkat itu saya tidak pernah terpikir untuk mendekatinya
    Saya merasa privasi data seharusnya dimasukkan ke pelajaran kesehatan wajib di sekolah atau semacamnya. Hanya saja kurikulum resmi mungkin akan dirusak oleh lobi, sehingga hal-hal yang benar-benar bernilai tidak akan diajarkan

    • Saya tidak mengerti mengapa kuliah itu begitu bernilai. Saya juga tidak mengerti mengapa penggunaan 23andMe menjadi penyesalan terbesar dalam hidup bagi orang lain
      Apa yang bersifat privat dalam DNA
  • Tulisan terbaru terkait:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - Oktober 2023, 20 komentar
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - Oktober 2023, 3 komentar
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - Oktober 2023, 2 komentar

  • “Jenis informasi yang dikumpulkan perusahaan tes genetik saat ini tidak dilindungi oleh HIPAA, undang-undang perlindungan informasi kesehatan di AS.”
    Sepertinya para pelobi industri tes genetik bekerja dengan baik

    • Jika DNA fisik dianggap sebagai informasi kesehatan yang dilindungi, maka setiap tempat kita meninggalkan DNA harus memiliki keamanan setara ruang praktik dokter
      Namun data yang terungkap dari analisis DNA, misalnya apakah seseorang memiliki penyakit genetik, seharusnya menjadi informasi kesehatan yang dilindungi
      Rasanya aneh bahwa hanya karena sehelai rambut diproses, statusnya bisa berubah dari “bukan informasi kesehatan yang dilindungi” menjadi “sekarang informasi kesehatan yang dilindungi”
      “Pada titik mana itu menjadi informasi kesehatan yang dilindungi” mungkin pertanyaan yang sulit dijawab
      Secara pribadi, saya rasa perlindungan data terkait DNA memerlukan kerangka kerja tersendiri yang berbeda dari HIPAA
    • Apakah ada dasar untuk itu? Apakah pernah benar-benar ditinjau, atau hanya mengarang saja?