1P by neo 2023-10-19 | favorite | 댓글 1개
  • Golem이라는 해커가 유전자 검사 회사 23andMe의 추가 사용자 기록 수백만 건을 BreachForums라는 사이버 범죄 포럼에 유출.
  • 이번 유출은 최근 몇 주 동안 23andMe에서 두 번째로 큰 유출로, 이전에도 같은 해커가 상당량의 사용자 데이터를 유출한 적이 있음.
  • 새로 유출된 데이터 세트에는 영국과 미국, 서유럽의 부유한 개인들을 포함한 400만 명의 사용자 기록이 포함되어 있다고 보고됨.
  • 23andMe는 이번 유출을 인정하고 현재 데이터의 진위를 확인 중임.
  • 회사는 초기 데이터 유출이 다른 데이터 유출에서 사용자 이름 또는 이메일과 비밀번호의 조합을 사용하는 크리덴셜 스태핑 기법 때문이었다고 이전에 밝혔음.
  • 이러한 유출에 대응하여 23andMe는 사용자에게 비밀번호 변경과 다중 요소 인증 활성화를 요청함.
  • 회사는 제3자 포렌식 전문가의 도움을 받아 조사를 시작함.
  • 총 얼마나 많은 사용자 데이터가 도난당했는지, 해커들이 도난당한 데이터를 어떻게 사용할 계획인지는 아직 불분명함.
  • Hydra라는 다른 사이버 범죄 포럼의 해커는 이전에 23andMe 사용자 데이터 300테라바이트를 가지고 있다고 주장했지만, 이 주장은 아직 확인되지 않음.
  • 데이터 유출의 전체 범위는 아직 알려지지 않았으며, 얼마나 많은 데이터가 가져갔는지도 불분명함.
Hacker News 의견
  • 23andMe에서 수백만 사용자 기록이 사이버 범죄 포럼에 유출된 데이터 위반에 대한 기사
  • 23andMe는 비밀번호 재사용과 DNA Relatives라는 선택 기능에 사건을 탓하며, 이 기능은 사용자가 유전적 데이터가 일치하는 다른 사용자의 데이터를 볼 수 있게 해준다.
  • 댓글 작성자들은 23andMe가 고객을 비난하는 것을 비판하며, 회사는 더 나은 보안 조치를 마련해야 했다고 주장했다.
  • 일부는 DNA Relatives 프로그램 내의 공유 옵션이 세밀성을 부족하며, 가장 가까운 1500개의 일치 항목을 볼 수 있는 제한이 해커가 데이터베이스 내의 대부분 사람들의 데이터를 수집할 수 있게 했을 수 있다고 지적했다.
  • 다른 일부는 개인 정보 보호 문제와 회사의 데이터 처리 관행에 대한 신뢰 부족으로 인해 23andMe를 사용한 것을 후회했다.
  • 300TB의 고객 데이터 유출을 감지하지 못한 회사의 실패에 대한 댓글도 있었으며, 일부는 이를 부주의로 보았다.
  • 일부 사용자들은 23andMe가 보안을 강화하기 위해 이중 인증(2FA)을 강제하거나 Google Single Sign-On(SSO)을 사용했어야 했다고 제안했다.
  • 소수의 사용자들은 그들의 결과를 23andMe에 제출할 때 가짜 이름과 일회용 이메일 주소를 사용했다고 공유했다.
  • 또한 23andMe에 대한 데이터 위반에 대한 관련 사건과 소송에 대한 언급도 있었다.