23andMe تأیید کرد اطلاعات شخصی بعضی از کاربرانش دزدیده شده است

با این حال، شرکت ادعا می کند که نقض داده ای رخ نداده است.

همانطور که Wired گزارش داد، گروهی از داده‌های کاربران 23andMe توسط هکرها دزدیده شده و در BreachForum برای فروش منتشر شده است.

این شرکت روز جمعه (6 اکتبر) تأیید کرد که داده‌ها به خطر افتاده‌اند، اما گفت که نقض داده‌ای رخ نداده است. در عوض، هکرها رمزهای عبور کاربران را حدس زدند و سپس از DNA Relatives، یک ویژگی اختیاری 23andMe که در آن کاربران اطلاعات را با یکدیگر به اشتراک می‌گذارند، برای جمع‌آوری داده‌های بیشتر استفاده کردند.

در یک هک بزرگ، اطلاعات شخصی میلیون ها کاربر 23andMe، از جمله یهودیان اشکنازی و چینی‌تبار، به سرقت رفت. این اطلاعات شامل نام، جنسیت، سال تولد، و برخی اطلاعات ژنتیکی اضافی بود. هکرها هنوز شناسایی نشده‌اند، اما این هک نگرانی‌های جدی در مورد امنیت داده‌های ژنتیکی ایجاد کرده است.

این شرکت در بیانیه‌ای به Wired گفت: “ما متوجه شدیم که برخی اطلاعات پروفایل مشتری 23andMe از طریق دسترسی به حساب‌های فردی 23andMe.com جمع آوری شده است. ما معتقدیم که هکرها ممکن است در نقض شرایط خدمات ما، بدون مجوز به حساب‌های 23andme.com دسترسی پیدا کرده و اطلاعاتی را از آن حساب‌ها به دست آورده باشد.”

این هکر پروفایل‌های داده‌ای 23andMe را بین 1 تا 10 دلار می‌فروشد و نمونه داده‌ها شامل مارک زاکربرگ، ایلان ماسک و سرگئی برین است. این پروفایل‌ها شامل نام، جنسیت، سال تولد و برخی اطلاعات ژنتیکی اضافی است. اما 23andMe به Wired گفت که در حالی که داده‌ها به خطر افتاده‌اند، نمونه داده‌ها توسط شرکت تأیید نشده است.

احتمالاً در این افشاگری از روشی به نام “credential stuffing” استفاده شده است. در این روش، هکرها از اعتبارنامه‌های دزدیده شده از سایت‌های دیگر برای دسترسی به حساب‌های 23andMe استفاده می‌کنند. این روش موثر است زیرا بسیاری از افراد از رمزهای عبور یکسانی برای چندین حساب استفاده می‌کنند. 23andMe توصیه می‌کند که کاربران برای محافظت از خود در آینده، احراز هویت دو عاملی را فعال کنند.