image

Dna-testbedrijf 23andMe bevestigt datalek door credential stuffing-aanval

zaterdag 7 oktober 2023, 08:17 door Redactie, 9 reacties

Dna-testbedrijf 23andMe heeft bevestigd dat aanvallers erin zijn geslaagd om door middel van een credential stuffing-aanval gegevens van gebruikers te stelen, om die vervolgens op een forum te koop aan te bieden. Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.

Het bedrijf laat tegenover CyberScoop en Wired weten dat de eigen systemen niet zijn gecompromitteerd, maar de aanvallers door middel van credential stuffing binnen wisten te komen. Bij een dergelijke aanval proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.

Verschillende postings op het forum waarin de data werd aangeboden zijn verwijderd. In de nieuwste posting claimt de aanbieder te beschikken over 'tailored ethnic groupings, individualized data sets, pinpointed origin estimations, haplogroup details, phenotype information, photographs, links to hundreds of potential relatives, and most crucially, raw data profiles' van miljoenen mensen. Voor honderd profielen wordt een bedrag van duizend dollar gevraagd, honderdduizend profielen kosten honderdduizend dollar. 23andMe laat weten dat het bezig is met het onderzoek naar de aanval.

Reacties (9)
07-10-2023, 10:32 door Anoniem
De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Dus als ik een account bij hun heb is deze aanval gemakkelijker uit te voeren, maar ze geven wel mensen de schuld
dat ze hun wachtwoord hergebruiken.
07-10-2023, 11:27 door Anoniem
Door Anoniem: Dus als ik een account bij hun heb is deze aanval gemakkelijker uit te voeren, maar ze geven wel mensen de schuld
dat ze hun wachtwoord hergebruiken.
Als je wachtwoorden hergebruikt dan is elke account die geen 2FA gebruikt hier gevoelig voor, en jij kan zelf zien of 2FA wel of niet gebruikt wordt. Sla je eigen verantwoordelijkheid niet over.

Dat gezegd hebbende vraag ik me wel af of dat hier wel is wat er gebeurd is. Er zijn wel erg veel accounts gecompromitteerd, kan dat echt allemaal aan account stuffing toegeschreven worden?
07-10-2023, 12:54 door Anoniem
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Dit zou erop kunnen wijzen dat er geen compartimentering is gebruikt.
07-10-2023, 20:35 door Anoniem
Na even een snelle zoekdinges gezien dat er nog maar bar weinig te vinden is op het gebied van DNA-spoofing.

Groeimarkt om anoniem te blijven. Er wordt veel te gemakkelijk gedacht, we hebben een metsj dus je bent het. DNA bewijs.

Iedereen stooit heel de dag zijn DNA in de rondte, dus handig als je een strooipotje hebt met allemaal verschillende DNA, liefst ook van een mammoet die ontdooid gevonden is op de toendra. Er zou natuurlijk misbruik van gemaakt kunnen worden. Maar privacy, je eigen vrijheid, gaat boven alles.
07-10-2023, 20:40 door Anoniem
Sla je eigen verantwoordelijkheid niet over.
Ik bedoel hier dus mee de verantwoording van Dna-testbedrijf, zij hebben fouten gemaakt en proberen die
van zich af te schuiven. Ik sla mijn eigen verantwoordelijkheid niet over, maar heb wel zowat al mij accounts
opgezegd, lijkt mij toch beter.
07-10-2023, 22:13 door Anoniem
Vind het wel jammer dat je als gebruiker dus niet doormiddel van een e-mail op de hoogte wordt gesteld.
Ik kom door diverse problemen geblokkeerd/verminderde toegang op myheritage er via een facebookgroep achter dat dit is omdat er een datalek is bij 23andme.
09-10-2023, 21:36 door Anoniem
De naam van het bedrijf was redflag one.
10-10-2023, 02:23 door Anoniem
En daarom zou ik dus nooit een DNA test laten doen gewoon voor de leuk bij een commercieel bedrijf. Dit is wel heel ernstig. Je wachtwoord, e-mail enzo kun je aanpassen. Geboortedatum en naam tja… maar je DNA gegevens wil je echt niet op straat hebben.
10-10-2023, 10:14 door Anoniem
Laat uw DNA nergens achter, bij elk bedrijf wordt het opgeslagen en gedeelt met geheime diensten en mogelijk zelfs uw zorgverzekeraar.
In Amerika is dat al fout gegaan en betalen sommige mensen meer voor hun zorgverzekeraar dankzij afgifte van hun DNA.
Daarnaast zegt men dat ze DNA na afloop vernietigen, maar er wordt weinig gezegd over de digitale kopie die is gemaakt van het DNA.
Zo ook met covid tests.

https://www.security.nl/posting/813214/Rechter%3A+beperkte+privacy-inbreuk+bij+gebruik+private+dna-databases+in+cold-cases

https://nos.nl/op3/artikel/2356388-de-ondoorzichtige-wereld-achter-de-corona-wattenstaaf
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.