23andMe
专门透过唾液来检测人类基因,以溯源并提供健康报告的美国基因技术业者23andMe,在今年10月坦承骇客借由凭证填充攻击存取了该平台上的用户资料,当时仅说有0.1%的用户资料遭到存取(约1.4万名)不过,23andMe近日向《TechCrunch》证实,使用DNA Relatives服务的690万名用户个资也外泄了。
骇客是在今年10月1日宣称骇进了23andMe,公布了100万名犹太人与10万名中国用户的资料,同月再度宣称取得其它400万名23andMe用户的资料。
骇客的行径令23andMe立即展开调查,指出骇客是透过其它网站的外泄资料,于23andMe上进行凭证填充攻击,仅危及0.1%的用户,而且攻击已受到控制。
然而,23andMe在上周更新的SEC文件中指出,除了这0.1%的用户帐号之外,骇客还存取了大量包括其它使用者祖先资料的档案,主要是因为这些使用者加入了DNA Relatives功能,并于网路上分享特定资料 ,23andMe正努力于公共网域上移除相关资料。
DNA Relatives为23andMe所提供的互动性功能,允许23andMe比对提供DNA的用户,以找出用户之间的亲属关系。
在《TechCrunch》的询问下,23andMe表示骇客存取了550万名加入DNA Relatives功能的用户资料,包括他们的姓名、出生年份、关系标签、血统报告与亲属间的DNS共享比例等,也存取了同样加入DNA Relatives功能并分享族谱资讯的另外140万名的用户资料,包括姓名、出生年份、位置及关系标签等。
23andMe在12月1日表示,已在第三方鉴证专家的协助下完成调查,并开始通知所有受影响的用户,此外,该公司也要求所有用户重置密码,同时要求他们采用双因素身分认证。