2023年底,基因检测公司23andMe 承认其客户数据在网上泄露。一位公司代表当时告诉我们,不良行为者能够访问大约 550 万客户的 DNA 亲属档案信息和 140 万 DNA 亲属参与者的家谱档案信息。现在,该公司在一份法律文件中披露了有关该事件的更多细节,其中称黑客于 2023 年 4 月下旬开始侵入客户帐户。不良行为者的活动持续了数月,一直持续到 2023 年 9 月,公司才最终发现了安全漏洞。
23andMe 的文件包含其向受该事件影响的客户发送的信件。该公司在信中解释说,攻击者使用了一种名为“凭证填充”的技术,该技术需要使用之前泄露的登录凭证通过其网站访问客户帐户。直到 10 月份一名用户在 23andMe Reddit 子版块上发布了被盗数据的样本后,该公司才发现任何问题。正如TechCrunch指出的那样,几个月前的 8 月份,黑客已经在黑客论坛上发布了窃取数据的广告,但 23andMe 并没有听到该帖子的风声。被盗信息包括客户姓名、出生日期、血统和健康相关数据。
23andMe 在披露数据泄露事件后建议受影响的用户更改密码。但在向客户发出信件之前,该公司改变了服务条款的语言,据报道,这使得受事件影响的人们更难联合起来合法地追捕该公司。
本文最初发表在 Engadget 上:https://ift.tt/3fYiFkA
原文: https://www.engadget.com/23andmes-data-hack-went-unnoticed-for-months-081332978.html?src=rss