Dna-testbedrijf 23andMe heeft bevestigd dat aanvallers erin zijn geslaagd om door middel van een credential stuffing-aanval gegevens van gebruikers te stelen, om die vervolgens op een forum te koop aan te bieden. Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.
Het bedrijf laat tegenover CyberScoop en Wired weten dat de eigen systemen niet zijn gecompromitteerd, maar de aanvallers door middel van credential stuffing binnen wisten te komen. Bij een dergelijke aanval proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Verschillende postings op het forum waarin de data werd aangeboden zijn verwijderd. In de nieuwste posting claimt de aanbieder te beschikken over 'tailored ethnic groupings, individualized data sets, pinpointed origin estimations, haplogroup details, phenotype information, photographs, links to hundreds of potential relatives, and most crucially, raw data profiles' van miljoenen mensen. Voor honderd profielen wordt een bedrag van duizend dollar gevraagd, honderdduizend profielen kosten honderdduizend dollar. 23andMe laat weten dat het bezig is met het onderzoek naar de aanval.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.