- Dua minggu setelah kebocoran data pengguna 23andMe pertama kali terungkap, peretas yang sama memublikasikan dataset baru berisi 4 juta orang di BreachForums
- Peretas bernama Golem mengklaim dataset baru itu mencakup pengguna asal Great Britain, serta informasi tentang “orang-orang terkaya yang tinggal di Amerika Serikat dan Eropa Barat”
- TechCrunch mengonfirmasi bahwa sebagian data baru yang bocor cocok dengan informasi pengguna dan genetik 23andMe yang telah dipublikasikan
- Setelah mengetahui kebocoran baru ini, 23andMe sedang meninjau keaslian data tersebut, dan sebelumnya telah mengarahkan pengguna untuk mengganti kata sandi serta mengaktifkan autentikasi multifaktor
- Metode intrusi sebenarnya, skala penuh kebocoran, dan tujuan penggunaan data yang dicuri belum terkonfirmasi, sehingga pengguna 23andMe masih menghadapi risiko tambahan
Data tambahan yang dipublikasikan di BreachForums
- Seorang peretas bernama Golem memublikasikan dataset baru berisi 4 juta data pengguna 23andMe di forum kejahatan siber BreachForums
- Peretas ini adalah orang yang sama yang dua minggu sebelumnya juga membocorkan kumpulan data pengguna yang dicuri dari perusahaan tes genetik 23andMe
- TechCrunch mengonfirmasi bahwa sebagian data yang baru bocor cocok dengan informasi pengguna dan genetik 23andMe yang telah dipublikasikan
- Golem mengklaim dataset tersebut mencakup informasi orang-orang asal Great Britain
- Ia juga mengklaim daftar itu mencakup data “orang-orang terkaya yang tinggal di Amerika Serikat dan Eropa Barat”
- Juru bicara 23andMe, Andy Kill, mengatakan perusahaan telah mengetahui kebocoran baru tersebut dan sedang meninjau apakah data itu benar-benar data 23andMe
Penjelasan insiden dari 23andMe dan langkah keamanan akun
- Pada 6 Oktober, 23andMe mengumumkan bahwa peretas telah memperoleh sebagian data pengguna, dan menjelaskan bahwa peretas menggunakan credential stuffing
- Credential stuffing adalah teknik mencoba kombinasi nama pengguna/email dan kata sandi yang sudah terungkap dari kebocoran data lain
- Sebagai respons insiden, 23andMe mewajibkan pengguna mengganti kata sandi dan menyarankan pengaktifan autentikasi multifaktor
- Menurut halaman respons insiden resmi, 23andMe memulai investigasi dengan bantuan “pakar forensik pihak ketiga”
- Perusahaan menunjuk penggunaan ulang kata sandi oleh pelanggan dan fitur opsional DNA Relatives sebagai penyebab insiden
- DNA Relatives adalah fitur yang memungkinkan pengguna melihat data pengguna lain yang ikut serta secara opsional dan memiliki kecocokan data genetik
- Jika fitur ini aktif, peretas dapat membobol satu akun lalu melakukan scraping data beberapa pengguna
Pertanyaan yang belum terjawab
- Belum jelas apakah peretas benar-benar menggunakan credential stuffing atau memakai teknik lain
- Total volume data pengguna yang dicuri belum diketahui
- Bagaimana peretas berniat menggunakan data tersebut juga belum terkonfirmasi
- Insiden ini kemungkinan telah dilakukan, atau setidaknya dimulai, beberapa bulan lalu
- Pada 11 Agustus, seorang peretas mengiklankan set data pengguna 23andMe di forum kejahatan siber lain bernama Hydra
- Menurut analisis TechCrunch, set data itu cocok dengan sebagian catatan pengguna yang bocor dua minggu lalu
- Peretas di Hydra mengklaim memiliki 300TB data pengguna 23andMe, tetapi tidak memberikan bukti
- Hingga saat ini, cakupan penuh kebocoran data belum jelas, dan 23andMe tampaknya juga belum mengetahui berapa banyak data yang telah dicuri
1 komentar
Komentar Hacker News
Menyalahkan penggunaan ulang kata sandi oleh pelanggan dan DNA Relatives, fitur opt-in yang memungkinkan pengguna melihat data peserta lain yang cocok secara genetik, hanyalah cara 23andMe mengaburkan inti masalah
Opsi berbagi DNA Relatives kurang terperinci, dan pada dasarnya hanya ada sekitar dua tingkat, jadi tidak memadai
Selain itu, 23andMe membatasi tampilan hanya sampai 1.500 orang terdekat di antara mereka yang ikut DNA Relatives; dengan struktur seperti ini, jika peretas menguasai beberapa ribu akun saja, mereka kemungkinan bisa mengumpulkan haplogroup, prediksi asal etnis, nama, profil, daftar kerabat, dan informasi asal geografis dari sebagian besar database
Batas 1.500 orang ini secara teori membantu, tetapi belakangan selama beberapa waktu profil di luar cakupan itu juga bisa dilihat, dan tidak jelas apakah itu menjadi bagian dari cara penyalahgunaannya
Kalau untuk mendapatkan privasi penuh harus keluar, saya tidak mengerti bagaimana ini bisa disebut fitur opt-in
Juga tidak jelas apa arti privasi penuh di sini, dan bagaimana bedanya dengan privasi yang secara wajar bisa diharapkan
Menurut saya klaim perusahaan bahwa fitur ini bersifat opt-in tidak masuk akal
Jika pengguna memakai ulang kata sandi, itu mungkin penyebab satu akun dibobol, tetapi perusahaan seharusnya bisa dengan mudah memitigasi agar dampaknya tidak meluas
Seharusnya tidak mungkin mengeruk data jutaan orang hanya dengan sekumpulan akun yang diretas
Saya penasaran apakah CEO 23andMe juga akan diseret-seret ke Kongres selama 10 tahun ke depan
Menggunakan 23andMe adalah salah satu penyesalan terbesar dalam hidup saya. Saya melakukannya saat ada diskon di Amazon, sebelum saya peduli soal privasi
Walau saya meminta penghapusan, saya sama sekali tidak percaya mereka benar-benar akan menghapus data saya, dan kalaupun dihapus, saya tidak tahu apakah data itu sudah masuk dan tetap hidup di suatu model atau riset di suatu tempat
Sebagian diri saya juga tidak ingin tahu apakah data saya termasuk dalam kebocoran ini. Rasanya berbeda dari kebocoran kartu kredit atau data belanja
Yang lebih buruk, saya sudah lama tidak masuk ke 23andMe, dan kemungkinan besar itu sebelum saya benar-benar memperhatikan keamanan kata sandi, jadi saya tidak akan terkejut
Facebook dan Google punya gambaran yang jauh lebih akurat untuk memanipulasi orang, sementara 23andMe tidak lebih dari sekadar rasa penasaran
Data saya juga mungkin masuk dalam kebocoran ini, tetapi saya tidak akan menghabiskan sedetik pun hidup saya untuk menyesalinya
Tinggal tunggu saja apakah bisa mendapat sesuatu dari gugatan kelompok. Kalau, seperti peretasan Experian, saya menerima cek yang menyedihkan kecilnya lewat pos, setidaknya ada satu benda yang bisa ditaruh di meja kopi
Namun saya mendaftar dengan nama samaran, memberikan kit tes kepada ayah saya, dan juga meminta seorang bibi saya ikut tes
Hasilnya tidak akurat, tetapi cukup untuk memuaskan rasa penasaran
Pada akhirnya semuanya akan diretas suatu hari nanti. Seperti kata seorang peretas terkenal, kita harus berasumsi bahwa semua yang dikatakan atau ditulis suatu hari akan menjadi informasi publik
Sebagai tambahan, mungkin ada yang berkata “bagaimana bisa kamu melakukan itu kepada ayahmu”, tetapi kalau mengenal beliau, kalian akan mengerti. Beliau hidup hampir sepenuhnya off-grid dan tak lama lagi akan meninggal, sementara bibi saya sudah meninggal
Saya salah satu korban kebocoran ini. Secara teknis saya melek teknologi, paham keamanan, dan memakai kata sandi yang unik serta aman di semua tempat
Perusahaan ini dan omong kosong mereka yang melempar tanggung jawab benar-benar menjijikkan
Ini tak ada bedanya dengan doxxing korporat. Hal seperti ini akan terus berulang sampai para eksekutif individu di perusahaan raksasa yang meludahi wajah pengguna seperti ini dimintai pertanggungjawaban pribadi
Karena sampai saat itu, mereka tidak punya kewajiban untuk benar-benar peduli. Kita hanya bahan baku yang dimasukkan ke mesin pencetak uang
Yang lebih membuat marah daripada kebocorannya sendiri adalah ketiadaan akuntabilitas
Saya terkejut melihat suasana komentar yang menyalahkan korban
Kalau diasumsikan ada 1.500 kecocokan per orang dan kerabatnya tidak saling tumpang tindih, untuk mencapai skala data yang bocor, sekitar 14 juta orang, dibutuhkan kira-kira 10 ribu akun yang berhasil diretas
Kenyataannya banyak orang memiliki kerabat yang tumpang tindih, jadi harus ada jauh lebih banyak dari 10 ribu akun yang diserang, dan selama itu 23andMe sama sekali tidak menyadari sesuatu yang mencurigakan. Ini sangat tidak masuk akal
23andMe mengklaim akar penyebab kebocoran ini adalah credential stuffing, tetapi para peretas yang pertama kali mempostingnya di Hydra Market dua bulan lalu mengklaim bahwa mereka sekadar menggunakan atau menyalahgunakan API yang disediakan 23andMe kepada mitra akademik dan riset
Para peretas mengklaim memiliki 300 TB, termasuk data mentah, tetapi sejauh ini belum memberikan bukti bahwa cakupan serangannya sebesar itu. Namun jika klaim itu benar, pembobolan ini lebih cocok dengan klaim penggunaan API daripada credential stuffing
Jadi jika skala yang disebut penyerang benar, jauh lebih mungkin seluruh data dikeruk lewat salah satu API 23andMe daripada lewat credential stuffing. Bisa jadi salah satu peneliti mitra diretas, atau ada—atau masih ada—celah kontrol akses API yang memungkinkan penyerang mengeruk ulang semua data
Tidak banyak informasi tentang API yang disediakan 23andMe, tetapi saya menemukan satu di RapidAPI (https://rapidapi.com/23andme/api/23andme); jika ada celah kontrol akses atau peretasan pengguna dengan eskalasi hak akses, satu individu saja bisa dijadikan titik awal untuk mengunduh data dari berbagai endpoint, lalu secara rekursif mengikuti semua kerabat lewat endpoint kerabat dan mengunduh setiap orang sekali. Bahkan ada endpoint genom lengkap per individu
Untuk saat ini saya sangat meragukan pembelaan 23andMe, tetapi sebelum penyerang mempublikasikan bukti bahwa mereka memiliki data mentah, sulit membuktikan bahwa perusahaan keliru atau berbohong soal skala serangan sebenarnya. Meski begitu, klaim bahwa API digunakan jauh lebih masuk akal daripada skenario yang diajukan 23andMe, dan karena itu sangat mengkhawatirkan
Tentu saja, kalau benar-benar mau, mereka masih bisa melacak saya berdasarkan kerabat yang memakai platform itu
Katanya “23andMe menyalahkan pelanggan karena memakai ulang kata sandi”; entah bagaimana persisnya mereka mengungkapkannya, ini adalah kekurangan perusahaan, bukan pelanggan
Pelanggan memang memakai ulang kata sandi dan akan terus begitu. Untuk informasi identitas pribadi yang sensitif, jauh lebih mudah memaksakan autentikasi dua faktor atau Google SSO daripada mencoba mengubah perilaku pelanggan
Metodenya memakai aplikasi autentikator yang lebih aman daripada SMS, tetapi karena lebih merepotkan untuk membuat pengguna mengaktifkannya, itu mungkin memengaruhi tingkat adopsi
Jika data pelanggan sebesar 300 TB bocor tanpa disadari 23andMe, itu tampak seperti kelalaian. Bukankah seharusnya ada alarm?
Meski begitu, 23andMe seharusnya memiliki deteksi atau kontrol yang menandai lokasi geografis baru untuk penyimpanan pelanggan. Sebab kecil kemungkinan mereka memalsukan tujuan untuk setiap pelanggan
Atau, saat mengakses data dengan akun tingkat admin, seharusnya ada prosedur otorisasi dengan jejak audit dan alur persetujuan
Mengejutkan bahwa mereka mencoba menutupi kegagalan keamanan sistem sendiri dengan menyalahkan pelanggan yang membayar
Anda tidak bisa mengendalikan pengguna, tetapi Anda bisa mengendalikan postur keamanan. Sikap dan penilaian manajemen 23andMe buruk sekali
Produk 23andMe adalah DNA pengguna, hanya saja dikemas rapi dalam bentuk yang mudah dicerna
Kalau mereka tidak mendeteksi jutaan catatan dicuri lewat credential stuffing, itu juga bukan alasan yang lebih baik bagi perusahaan
Saya mungkin sudah mati duluan sebelum melihat perusahaan bertanggung jawab atas tindakannya, jadi ini pun tidak mengejutkan
23andMe muncul ketika saya masih SMA, dan salah satu guru sains saya menghabiskan satu jam pelajaran penuh untuk menjelaskan mengapa kami sama sekali tidak boleh menggunakan layanan itu
Jujur itu salah satu pelajaran paling bernilai yang pernah saya dengar, dan berkat itu saya tidak pernah terpikir untuk mendekatinya
Saya merasa privasi data seharusnya dimasukkan ke pelajaran kesehatan wajib di sekolah atau semacamnya. Hanya saja kurikulum resmi mungkin akan dirusak oleh lobi, sehingga hal-hal yang benar-benar bernilai tidak akan diajarkan
Apa yang bersifat privat dalam DNA
Tulisan terbaru terkait:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - Oktober 2023, 20 komentar
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - Oktober 2023, 3 komentar
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - Oktober 2023, 2 komentar
“Jenis informasi yang dikumpulkan perusahaan tes genetik saat ini tidak dilindungi oleh HIPAA, undang-undang perlindungan informasi kesehatan di AS.”
Sepertinya para pelobi industri tes genetik bekerja dengan baik
Namun data yang terungkap dari analisis DNA, misalnya apakah seseorang memiliki penyakit genetik, seharusnya menjadi informasi kesehatan yang dilindungi
Rasanya aneh bahwa hanya karena sehelai rambut diproses, statusnya bisa berubah dari “bukan informasi kesehatan yang dilindungi” menjadi “sekarang informasi kesehatan yang dilindungi”
“Pada titik mana itu menjadi informasi kesehatan yang dilindungi” mungkin pertanyaan yang sulit dijawab
Secara pribadi, saya rasa perlindungan data terkait DNA memerlukan kerangka kerja tersendiri yang berbeda dari HIPAA