Dna-testbedrijf 23andMe bevestigt datalek door credential stuffing-aanval
Dna-testbedrijf 23andMe heeft bevestigd dat aanvallers erin zijn geslaagd om door middel van een credential stuffing-aanval gegevens van gebruikers te stelen, om die vervolgens op een forum te koop aan te bieden. Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.
Het bedrijf laat tegenover CyberScoop en Wired weten dat de eigen systemen niet zijn gecompromitteerd, maar de aanvallers door middel van credential stuffing binnen wisten te komen. Bij een dergelijke aanval proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel gebruikers de gegevens zijn gestolen is onbekend.
Verschillende postings op het forum waarin de data werd aangeboden zijn verwijderd. In de nieuwste posting claimt de aanbieder te beschikken over 'tailored ethnic groupings, individualized data sets, pinpointed origin estimations, haplogroup details, phenotype information, photographs, links to hundreds of potential relatives, and most crucially, raw data profiles' van miljoenen mensen. Voor honderd profielen wordt een bedrag van duizend dollar gevraagd, honderdduizend profielen kosten honderdduizend dollar. 23andMe laat weten dat het bezig is met het onderzoek naar de aanval.
dat ze hun wachtwoord hergebruiken.
dat ze hun wachtwoord hergebruiken.
Dat gezegd hebbende vraag ik me wel af of dat hier wel is wat er gebeurd is. Er zijn wel erg veel accounts gecompromitteerd, kan dat echt allemaal aan account stuffing toegeschreven worden?
Groeimarkt om anoniem te blijven. Er wordt veel te gemakkelijk gedacht, we hebben een metsj dus je bent het. DNA bewijs.
Iedereen stooit heel de dag zijn DNA in de rondte, dus handig als je een strooipotje hebt met allemaal verschillende DNA, liefst ook van een mammoet die ontdooid gevonden is op de toendra. Er zou natuurlijk misbruik van gemaakt kunnen worden. Maar privacy, je eigen vrijheid, gaat boven alles.
van zich af te schuiven. Ik sla mijn eigen verantwoordelijkheid niet over, maar heb wel zowat al mij accounts
opgezegd, lijkt mij toch beter.
Ik kom door diverse problemen geblokkeerd/verminderde toegang op myheritage er via een facebookgroep achter dat dit is omdat er een datalek is bij 23andme.
In Amerika is dat al fout gegaan en betalen sommige mensen meer voor hun zorgverzekeraar dankzij afgifte van hun DNA.
Daarnaast zegt men dat ze DNA na afloop vernietigen, maar er wordt weinig gezegd over de digitale kopie die is gemaakt van het DNA.
Zo ook met covid tests.
https://www.security.nl/posting/813214/Rechter%3A+beperkte+privacy-inbreuk+bij+gebruik+private+dna-databases+in+cold-cases
https://nos.nl/op3/artikel/2356388-de-ondoorzichtige-wereld-achter-de-corona-wattenstaaf
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.