美国证券交易委员会 (SEC) 的一份文件披露了今年秋季早些时候披露的影响 23andMe 用户的数据泄露的更多细节。 TechCrunch指出,该公司表示,调查发现黑客能够访问其 0.1% 用户群的信息,即 1400 万客户中约 14000 个的账户。最重要的是,攻击者能够利用 23andMe 的选择加入 DNA 亲属功能来访问“有关其他用户血统的个人资料信息”。 23andMe 尚未透露有多少用户受到影响。黑客在网上发布了这两个组织的信息。
当十月份泄露事件首次被揭露时,该公司表示,其调查“发现没有基因检测结果被泄露”。根据新提交的文件,这些数据“通常包括血统信息,对于这些帐户的子集,还包括基于用户基因的健康相关信息。”所有这些都是通过凭证填充攻击获得的,其中黑客使用来自其他先前受感染的网站的登录信息来访问这些用户在其他网站上的帐户。文件称,在此过程中,“威胁行为者还访问了大量包含其他用户祖先个人资料信息的文件,这些用户在选择加入 23andMe 的 DNA 亲属功能时选择共享这些文件,并在网上发布了某些信息。”
Engadget 已联系 23andMe 征求意见。发现漏洞后, 23andMe指示受影响的用户更改密码,随后为其所有客户推出了双因素身份验证。在周五的另一次更新中,23andMe 表示已完成调查并通知所有受影响的人。该公司还在文件中写道,它“相信威胁行为者的活动已得到控制”,并正在努力删除公开发布的信息。
本文最初发表在 Engadget 上:https://ift.tt/Eps3Yih