Na internetu na prodaj podatki uporabnikov genetske storitve 23andMe
Matej Huš
7. okt 2023 ob 19:07:56
Kot v slabi distopiji se bere včerajšnje priznanje ponudnikov storitve za genetsko testiranje 23andMe, da na nezakonitih internetnih forumih krožijo osebni podatki njihovih uporabnikov. Po trditvah anonimnih hekerjev, ki jih ponujajo na forumih, gre za podatke več milijonov uporabnikov (ocene segajo od sedem do 20 milijonov). Podatki vključujejo oceno izvora, fenotip, zdravstvene podatke, fotografije, identifikacijske podatke in drugo. Gre za informacije, ki jih 23andMe pridobi z analizo DNK iz vzorcev sline, ki jih posredujejo uporabniki.
Vesti o odtujitvi podatkov so na splet curljale že v torek, 23andMe pa jih je potrdil šele včeraj. Trdijo, da ni šlo za hekerski vdor, temveč za postrganje. Neznani napadalci naj bi na drugih storitvah nekako pridobili prijavne podatke posameznih uporabnikov, ki so bili enaki kot za 23andMe. Praksa recikliranja gesel je dokazano nevarna, o čemer smo že večkrat pisali. Nato naj bi napadalci izkoristili prijavo in s 23andMe pretočili te podatke. Število je naraslo na sedem milijonov zaradi storitve DNA Relative, ki omogoča iskanje sorodnikov. S prijavo v to storitev so nekateri osebni podatki uporabnika dostopni vsem drugim uporabnikom te storitve, kar so napadalci izkoristili in jih postrgali.
23andMe vztraja, da je šlo za nepooblaščen dostop, ker napadalci niso imeli pravic za dostop, a da ni šlo za tehnični vdor. Posebej problematično je, da so objavljeni podatki očitno agregirani po etnični pripadnosti: raziskovalci so v njih našli milijonov uporabnikov etnične skupine Aškenazi in 300.000 kitajskih uporabnikov. Ti so vsebovali tudi imena, spol, leto rojstva in genetske kazalce.