23andMe 近日披露了一起数据泄露事件,黑客未经授权访问了约 14,000 个客户账户,约占其庞大客户群的 0.1%。这起dent于 10 月初曝光,凸显了一种名为“dent填充”的攻击技术,即黑客利用已知密码(可能来自其他数据泄露事件)入侵账户。.
23andMe公司称黑客入侵了有关用户祖先的文件。
此次泄露的数据涵盖了最初14,000名用户的祖源信息。其中部分账户的基于用户基因的健康相关信息也遭到泄露。然而,此次数据泄露的影响远不止于直接受影响的用户。这是因为23andMe的“DNA亲属”功能允许用户与其他选择加入该功能的用户共享特定信息,从而构建一个相互关联的个人资料网络。
因此,黑客通过访问一名受害者的账户,就有可能查看与该受害者有关联的其他用户的个人数据。虽然该公司没有提供除最初公布的14000个账户之外的更具体数字,但它承认“大量”包含其他用户祖源信息的个人资料文件遭到泄露。值得注意的是,23andMe并未回应有关这些数字的问询,这令用户对此次数据泄露的范围感到担忧。.
此次数据泄露事件促使23andMe立即采取行动,敦促用户重置并更改密码。此外,该公司还提倡实施多因素身份验证,这是提升安全性的关键一步。11月6日,该公司采取了更为强硬的措施,要求所有用户启用双重验证,进一步加强了用户账户的保护。对被盗数据的分析(这些数据后来在黑客论坛上发布)表明,其中包含用户的基因祖先信息。.
此次袭击事件的影响及行业反应
部分数据集与公开的族谱记录中的信息相符,表明泄露的信息可能已在网上流传多年。更糟糕的是,一名黑客试图出售据称包含数百万用户信息的记录,价格从每人1美元到10美元不等。此次数据泄露事件最初引起公众关注,是因为黑客在一个知名的黑客论坛上兜售了一百万名阿什肯纳兹犹太裔用户和十万名中国用户的数据。.
随后,同一名黑客扩大了出售范围,将另外四百万条用户记录也纳入其中。更令人担忧的是,此前在另一个论坛上,另一名黑客声称拥有高达300TB的23andMe被盗用户数据,并试图以高价出售整个数据库或部分数据。面对此次大规模数据泄露,23andMe的安全措施也随之升级。强制重置密码和鼓励用户启用多因素身份验证是减轻此次数据泄露影响的初步措施。.
随后强制实施的双重验证旨在增强用户安全并防止未经授权的访问。23andMe数据泄露事件远不止于该公司本身。事件发生后,其他DNA检测公司,例如Ancestry和MyHeritage,也采取措施加强安全措施,强制用户使用双重身份验证。此次事件dent了处理敏感基因和个人数据的公司面临的日益严峻的挑战,强调了采取强有力的网络安全措施来保护用户信息免受恶意攻击的必要性。
