GN⁺: 23andMe, 사용자 데이터가 크리덴셜 스타핑 공격으로 도난당했다고 밝혀
(bleepingcomputer.com)- 미국 생명공학 및 유전체학 회사인 23andMe가 플랫폼의 사용자 데이터와 관련된 데이터 유출을 확인했습니다.
- 이 회사는 데이터 유출을 자격증명 스태핑 공격에 기인한다고 주장합니다.
- 초기 데이터 유출은 제한적이었으며, 위협 요인은 아쉬케나지 사람들에 대한 100만 줄의 데이터를 공개했습니다.
- 위협 요인은 후에 23andMe 계정당 1-10달러에 따라 대량으로 데이터 프로필을 판매할 것을 제안했습니다.
- 노출된 데이터에는 전체 이름, 사용자 이름, 프로필 사진, 성별, 생년월일, 유전적 조상 결과, 지리적 위치가 포함됩니다.
- 침해된 계정은 사용자가 유전적 친척을 찾고 그들과 연결할 수 있게 해주는 플랫폼의 'DNA 친척' 기능에 참여했습니다.
- 위협 요인은 23andMe 계정의 소수에 접근한 후 그들의 DNA 친척 매치 데이터를 스크랩했습니다.
- 23andMe는 이러한 접근 시도에서 사용된 로그인 자격증명이 사용자가 로그인 자격증명을 재사용한 다른 온라인 플랫폼에서 발생한 사건 중 데이터 유출로부터 위협 요인에 의해 수집되었을 수 있다고 밝혔습니다.
- 회사는 추가적인 계정 보호 조치로서 이중 인증을 제공하며 모든 사용자에게 이를 활성화하도록 권장합니다.
- 사용자들은 비밀번호를 재사용하는 것을 삼가고, 강력하고 독특한 자격증명을 모든 온라인 계정에 일관되게 사용할 것이라고 조언받았습니다.
Hacker News 의견
- 23andMe에서의 사용자 데이터 도난은 기존에 유출된 이메일/비밀번호 데이터베이스가 사이트 접근에 사용된 크리덴셜 스태핑 공격 때문이었다.
- 문제는 사람들이 비밀번호를 재사용하고 이중 인증을 활성화하지 않아 발생했다.
- 판매용 데이터에는 23andMe에서 작동한 다른 침해로부터의 이메일/비밀번호와 23andMe가 해당 사용자에 대해 가지고 있던 데이터가 포함되어 있다.
- 이 사건은 "전이 권한" 또는 "네트워크 권한"에 대한 우려를 불러일으켰다. 이는 한 사람에게 접근 권한을 부여하면 다른 사람들에게도 접근 권한을 부여할 수 있다는 것을 의미한다.
- 일부 사용자들은 이러한 보안 우려로 인해 유전자 검사를 피하고 있다.
- 해커들이 모든 데이터에 접근했지만 특히 아쉬케나지 유대인 130만 건의 기록만 유출했을 수 있다는 추측이 있다.
- 일부 사용자들은 데이터 보관/보호의 부주의에 대한 형사 책임이 있을 때까지 이러한 침해가 계속 발생할 것이라고 믿는다.
- 23andMe의 법 집행 기관과의 협력과 셋째 사촌 DNA 샘플을 기반으로 개인을 식별하는 능력은 개인 정보 보호에 대한 우려를 불러일으킨다.
- 유전자 검사 회사 1Health.io가 민감한 데이터를 보호하지 못한 것에 대해 FTC에게 75,000달러의 벌금을 지불한 것은 정부가 개인 정보 보호를 심각하게 받아들이지 않는다는 증거로 여겨진다.
- 일부 가계학 서비스는 사용자에게 그들의 23andMe 자격 증명을 요청한다고 보고되어, 이 부문의 보안이 약하다는 것을 나타낸다.
- 이 사건은 사람들이 그들의 유전 정보를 사적 회사에 신뢰하는 것에 대한 비판을 불러일으켰다.