Dna-testbedrijf 23andMe door gebruikers aangeklaagd wegens datalek
Dna-testbedrijf 23andMe is in de Verenigde Staten door gebruikers aangeklaagd wegens een gevoelig datalek waarbij hun persoonlijke gegevens werden gestolen. Meerdere personen zijn inmiddels een massaclaim tegen het bedrijf gestart. Begin deze maand werd bekend dat aanvallers door middel van een credential stuffing-aanval gegevens van gebruikers hadden gestolen, die vervolgens op een forum te koop werden aangeboden.
Het gaat onder andere om naam, geslacht, geboortejaar, profielfoto en details over de dna-test, zoals afkomst. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan kwamen, maar kan er ook worden getest op gezondheidsgerelateerde zaken.
Door middel van een credential stuffing-aanval konden de gegevens van gebruikers worden gestolen. Bij credential stuffing proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze namelijk, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen.
Volgens de personen die de rechtszaken zijn gestart heeft 23andMe geen gepaste maatregelen genomen om de gegevens van gebruikers te beschermen. Daarnaast heeft het bedrijf niet bekendgemaakt wanneer het datalek zich precies voordeed en over welke periode zich het heeft voorgedaan. Ook is niet bekendgemaakt hoeveel gebruikers zijn getroffen en wat voor maatregelen die zouden moeten nemen om zich te beschermen. Daardoor zouden gebruikers risico op identiteitsdiefstal lopen, aldus de klagers, die een schadevergoeding eisen.
TheYOSH
linus talks about the 23 and me hack;
https://www.youtube.com/watch?v=ZyYgKCsT3mo&t=0
TheYOSH
Onterecht vertrouwen in de rechtstaat gelukkig...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.