GN⁺: 23andMe, 해커들이 690만 사용자의 조상 데이터를 도난당했음을 확인

 (techcrunch.com)
1P by neo 11달전 | favorite | 댓글 1개

23andMe 해킹 사건: 690만 명의 조상 데이터 도난 확인

  • 유전자 검사 회사 23andMe가 해커가 고객의 개인 데이터에 접근하여 약 1만 4천 명의 개인 정보와 다른 사용자들의 조상에 관한 프로필 정보가 포함된 상당 수의 파일에 접근했다고 발표함.
  • 해커는 23andMe의 DNA 친척 기능에 동의한 약 550만 명의 개인 정보에 접근했으며, 도난당한 데이터에는 이름, 출생 연도, 친척 관계 라벨, 친척과 공유하는 DNA 비율, 조상 보고서, 자가 보고 위치가 포함됨.
  • 또한 DNA 친척 기능에 동의한 약 140만 명의 사용자들도 가족 나무 프로필 정보가 접근당했으며, 이에는 표시 이름, 친척 관계 라벨, 출생 연도, 자가 보고 위치, 정보 공유 여부가 포함됨.

해커 포럼에서의 데이터 유출 광고

  • 10월 초, 한 해커가 유명한 해킹 포럼에 23andMe 사용자들의 DNA 정보를 도난했다고 주장하며 유대인 아슈케나즘 후손 100만 명과 중국인 사용자 10만 명의 데이터를 공개하고, 개별 계정 데이터에 대해 1달러에서 10달러를 요구함.
  • 이후 같은 해커가 같은 포럼에서 추가로 400만 명의 기록을 광고했으며, TechCrunch는 다른 해커가 이미 두 달 전에 별도의 해킹 포럼에서 도난당한 23andMe 고객 데이터를 광고한 것을 발견함.
  • TechCrunch가 분석한 몇 달 전 유출된 데이터는 취미로 유전학 정보를 온라인에 게시한 사람들의 기록과 일치하는 부분이 있어, 해커가 유출한 데이터가 적어도 부분적으로는 진짜 23andMe 고객 데이터임을 시사함.

비밀번호 재사용으로 인한 데이터 유출

  • 23andMe는 10월에 발표한 사건 공개에서 데이터 유출이 고객들이 비밀번호를 재사용함으로써 발생했다고 밝힘.
  • 해커들은 다른 회사들의 데이터 유출로 공개된 비밀번호를 사용하여 피해자들의 계정을 무차별 대입 공격으로 해킹할 수 있었음.
  • DNA 친척 기능이 사용자들을 그들의 친척과 매칭하는 방식 때문에, 한 개인의 계정을 해킹하면 계정 소유자뿐만 아니라 그들의 친척들의 개인 데이터도 볼 수 있어 피해자 수가 증가함.

GN⁺의 의견

이 기사에서 가장 중요한 점은 유전자 검사 서비스인 23andMe가 대규모 데이터 유출 사건을 겪었다는 것이다. 이 사건은 약 690만 명의 사용자들의 조상 데이터가 해커에 의해 도난당했다는 사실을 드러냈으며, 이는 23andMe 고객의 절반에 가까운 수치이다. 데이터 유출은 비밀번호 재사용으로 인한 것으로, 이는 온라인 보안의 중요성을 다시 한번 상기시킨다. 이 기사가 흥미로운 이유는 개인의 유전 정보가 얼마나 민감한 데이터인지를 보여주고, 이러한 정보가 어떻게 잘못된 손에 넘어갈 수 있는지를 보여주기 때문이다. 이는 개인 정보 보호와 사이버 보안에 대한 대중의 인식을 높이는 계기가 될 수 있다.

neo 11달전  [-]
Hacker News 의견

  • 개인정보 보호에 대한 중요성

    • 친척이 23andMe와 같은 서비스를 이용해 유전체 데이터를 공유하는 것이 본인의 정보 노출에 영향을 미침을 지적함.
    • 행동 데이터 수집이 공통된 배경을 가진 다른 사람들에게도 영향을 줄 수 있음을 희망함.

  • 23andMe 이용약관 업데이트 문제

    • 추수감사절에 발표된 이용약관 업데이트가 집단 소송 금지, 법적 조치 전 60일간의 비공식 절차, 구속력 있는 중재를 요구함.
    • 고객이 사실상 법적 권리를 거의 가지지 못함을 23andMe 변호사들이 만든 것으로 보임.

  • 개인정보 보호의 미래에 대한 의문

    • 기계 학습 알고리즘이 걸음걸이만으로 사람을 식별하고, 키보드 소리만으로 텍스트를 해독할 수 있는 방향으로 발전함.
    • 공개 데이터와 발전된 알고리즘을 사용해 현재의 합리적인 개인정보 보호를 유지하기 어려움을 표현함.

  • 병원의 DNA 분석 프로그램 참여 요청 경험

    • 병원이 이전에 수집한 혈액 샘플을 사용해 DNA 분석을 하겠다고 제안함.
    • 미국의 개인정보 보호법이 사실상 존재하지 않음을 보여주는 사례로, 유럽에서는 동의 없이 샘플을 보관할 수 없음.

  • 23andMe 데이터 유출 의혹

    • 14,000개 계정이 한 번에 유출되었고, 해커들이 'DNA Relatives' 기능을 통해 6.9백만 명의 개인 정보에 접근함.
    • 각 계정이 평균 492명의 고유 친척 정보를 가지고 있었음을 의미함.

  • 23andMe 서비스 이용에 대한 개인적 회의

    • 해커가 아닌 정부가 그 정보를 어떻게 사용할지에 대한 우려로 인해 서비스 이용을 고려하지 않음.

  • 23andMe 관련 최근 뉴스 링크

    • 2023년 12월과 10월에 발생한 23andMe 관련 데이터 유출 및 해킹 사건에 대한 뉴스 링크 제공.

  • 자격 증명 스터핑(credential stuffing)에 대한 논의

    • 웹 애플리케이션 개발자들이 자격 증명 스터핑에 대한 보호 조치를 취해야 함을 강조함.
    • 트로이 헌트(Troy Hunt)의 해시된 비밀번호 데이터베이스를 사용하는 것이 좋은 방어책임을 언급함.

  • 데이터 수집 회사의 해킹 가능성

    • 데이터를 수집하는 모든 회사가 결국 해킹당할 것이라는 의견을 표현함.

  • 23andMe를 이용하지 않은 사람들의 집단 소송 가능성

    • 친척이 23andMe를 이용했을 경우에도 개인정보 보호에 대한 권리를 주장할 수 있는지에 대한 질문을 제기함.
답변달기