23andMe mengonfirmasi peretas mencuri data leluhur 6,9 juta pengguna

 (techcrunch.com)
1 poin oleh GN⁺ 2023-12-06 | 1 komentar | Bagikan ke WhatsApp

Insiden peretasan 23andMe: pencurian data leluhur 6,9 juta orang dikonfirmasi

  • Perusahaan tes genetik 23andMe mengumumkan bahwa peretas mengakses data pribadi pelanggan serta sejumlah besar file yang mencakup informasi pribadi sekitar 14 ribu orang dan informasi profil terkait leluhur milik pengguna lain.
  • Peretas mengakses informasi pribadi sekitar 5,5 juta orang yang menyetujui fitur DNA Relatives milik 23andMe, dan data yang dicuri mencakup nama, tahun kelahiran, label hubungan kekerabatan, persentase DNA yang dibagikan dengan kerabat, laporan leluhur, dan lokasi yang dilaporkan sendiri.
  • Selain itu, sekitar 1,4 juta pengguna yang juga menyetujui fitur DNA Relatives mengalami akses terhadap informasi profil family tree mereka, termasuk nama tampilan, label hubungan kekerabatan, tahun kelahiran, lokasi yang dilaporkan sendiri, dan apakah mereka membagikan informasi.

Iklan kebocoran data di forum peretas

  • Pada awal Oktober, seorang peretas mengklaim di forum peretasan terkenal bahwa ia telah mencuri informasi DNA pengguna 23andMe, lalu merilis data 1 juta keturunan Yahudi Ashkenazi dan 100 ribu pengguna asal Tiongkok, serta meminta bayaran antara $1 hingga $10 untuk data akun individual.
  • Setelah itu, peretas yang sama juga mengiklankan tambahan 4 juta catatan di forum yang sama, dan TechCrunch menemukan bahwa peretas lain sudah mengiklankan data pelanggan 23andMe yang dicuri di forum peretasan terpisah dua bulan sebelumnya.
  • Data yang bocor beberapa bulan lalu dan dianalisis TechCrunch memiliki kecocokan dengan catatan orang-orang yang memublikasikan informasi genetika mereka secara online sebagai hobi, yang menunjukkan bahwa data yang dibocorkan peretas setidaknya sebagian merupakan data pelanggan 23andMe yang asli.

Kebocoran data akibat penggunaan ulang kata sandi

  • Dalam pengungkapan insiden yang diumumkan pada Oktober, 23andMe menyatakan bahwa kebocoran data terjadi karena pelanggan menggunakan ulang kata sandi.
  • Para peretas dapat membobol akun korban melalui serangan brute force dengan menggunakan kata sandi yang sudah terekspos dari kebocoran data di perusahaan lain.
  • Karena cara fitur DNA Relatives mencocokkan pengguna dengan kerabat mereka, ketika satu akun diretas, data pribadi bukan hanya milik pemilik akun tetapi juga milik kerabat mereka dapat terlihat, sehingga jumlah korban pun meningkat.

Opini GN⁺

Poin terpenting dalam artikel ini adalah bahwa layanan tes genetik 23andMe mengalami insiden kebocoran data berskala besar. Insiden ini mengungkap bahwa data leluhur sekitar 6,9 juta pengguna dicuri oleh peretas, yang mendekati setengah dari seluruh pelanggan 23andMe. Kebocoran data ini disebabkan oleh penggunaan ulang kata sandi, yang sekali lagi mengingatkan pentingnya keamanan online. Artikel ini menarik karena menunjukkan betapa sensitifnya informasi genetik pribadi dan bagaimana data semacam itu bisa jatuh ke tangan yang salah. Ini dapat menjadi momentum untuk meningkatkan kesadaran publik terhadap privasi data dan keamanan siber.

Bacaan terkait

1 komentar

 
GN⁺ 2023-12-06
Opini Hacker News

  • Pentingnya privasi data pribadi

    • Ditunjukkan bahwa ketika kerabat menggunakan layanan seperti 23andMe dan membagikan data genom, hal itu memengaruhi keterpaparan informasi pribadi seseorang.
    • Diharapkan orang menyadari bahwa pengumpulan data perilaku juga dapat berdampak pada orang lain dengan latar belakang yang sama.

  • Masalah pembaruan syarat layanan 23andMe

    • Pembaruan syarat layanan yang diumumkan saat Thanksgiving melarang gugatan kelompok, mewajibkan proses informal selama 60 hari sebelum tindakan hukum, dan mensyaratkan arbitrase yang mengikat.
    • Tampaknya ini dibuat oleh pengacara 23andMe sehingga pelanggan pada praktiknya hampir tidak memiliki hak hukum.

  • Pertanyaan tentang masa depan privasi data

    • Algoritme pembelajaran mesin berkembang ke arah mampu mengidentifikasi seseorang hanya dari cara berjalan, dan mendekode teks hanya dari suara keyboard.
    • Disampaikan kekhawatiran bahwa akan sulit mempertahankan tingkat privasi yang saat ini masih dianggap wajar dengan data publik dan algoritme yang makin maju.

  • Pengalaman diminta ikut program analisis DNA rumah sakit

    • Rumah sakit menawarkan untuk melakukan analisis DNA menggunakan sampel darah yang sebelumnya telah mereka kumpulkan.
    • Ini menjadi contoh yang menunjukkan bahwa hukum privasi di Amerika Serikat pada praktiknya hampir tidak ada, sementara di Eropa sampel tidak boleh disimpan tanpa persetujuan.

  • Dugaan kebocoran data 23andMe

    • 14.000 akun bocor sekaligus, dan para peretas mengakses informasi pribadi 6,9 juta orang melalui fitur DNA Relatives.
    • Ini berarti setiap akun rata-rata memiliki informasi tentang 492 kerabat unik.

  • Skeptisisme pribadi terhadap penggunaan layanan 23andMe

    • Ada yang tidak pernah mempertimbangkan memakai layanan ini karena lebih khawatir tentang bagaimana pemerintah, bukan peretas, akan menggunakan informasi tersebut.

  • Tautan berita terbaru terkait 23andMe

    • Disediakan tautan berita tentang insiden kebocoran data dan peretasan terkait 23andMe yang terjadi pada Desember dan Oktober 2023.

  • Diskusi tentang credential stuffing

    • Ditekankan bahwa pengembang aplikasi web harus menerapkan langkah perlindungan terhadap credential stuffing.
    • Disebutkan bahwa menggunakan basis data kata sandi yang di-hash milik Troy Hunt merupakan pertahanan yang baik.

  • Kemungkinan perusahaan pengumpul data diretas

    • Disampaikan pendapat bahwa semua perusahaan yang mengumpulkan data pada akhirnya akan diretas.

  • Kemungkinan gugatan kelompok oleh orang yang tidak menggunakan 23andMe

    • Diajukan pertanyaan apakah seseorang tetap bisa menuntut hak atas privasi meskipun yang menggunakan 23andMe adalah kerabatnya.