أكدت شركة 23andMe للتكنولوجيا الحيوية والمتخصصة في تقديم خدمات تحليل الحمض النووي DNA، تعرضها للإختراق وسرقة بيانات من قاعدة البيانات الخاصة بها وتداولها على منتديات الويب المظلم، وذلك بعد أن استطاع المتسللون الوصول إلى الحسابات.
وكشف موقع BleepingComputer أن أحد المتسللين سرب ما قالوا إنه "مليون سطر من البيانات"، قبل أن يقول إنهم سيبيعون بيانات 23andMe المسروقة مقابل 1 إلى 10 دولارات لكل حساب، وتتضمن البيانات أسماء المستخدمين وصور الملفات الشخصية ونتائج النسب الجيني وتاريخ الميلاد والموقع الجغرافي.
وأكدت الشركة لـ BleepingComputer أن البيانات مشروعة في بيان شاركته أيضًا في رسالة بريد إلكتروني إلى The Verge، في البيان، كتب مدير 23andMe سكوت هادلي أن "النتائج الأولية لهذا التحقيق تشير إلى أن بيانات اعتماد تسجيل الدخول المستخدمة في محاولات الوصول هذه ربما تم جمعها من قبل جهة تهديد من البيانات المسربة أثناء الحوادث التي تنطوي على منصات أخرى عبر الإنترنت حيث قام المستخدمون بإعادة تدوير تسجيل الدخول أوراق اعتماد".
وأضاف أنه لا يوجد ما يشير إلى “حادث أمني داخل أنظمتنا”، وأفاد موقع BleepingComputer أنه تم استخراج بيانات المستخدمين الآخرين باستخدام إحدى ميزات الاشتراك الخاصة بشركة 23andMe، والتي تسمى "DNA Relatives"
تفاصيل الاختراق
ويتضمن "هجوم حشو بيانات الاعتماد" معلومات المستخدم التي تم اختراقها بالفعل (أسماء المستخدمين وكلمات المرور، على سبيل المثال) من مؤسسة واحدة، والتي يحصل عليها المتسلل ويحاول إعادة استخدامها مع مؤسسة ثانية في هذه الحالة 23andMe.
ويبدو أن مرتكبي هذا الهجوم قد حصلوا على معلومات حساسة للغاية من الحسابات المخترقة (نتائج الاختبارات الجينية والصور والأسماء الكاملة والموقع الجغرافي، من بين أمور أخرى)، وقد تم عرض البيانات للبيع بكميات كبيرة، بزيادات قدرها 100 أو 1000 أو 10000 أو 100000 ملف شخصي وحجم الهجوم غير معروف حتى الآن، ولكن من المحتمل أن يكون نطاق تأثيره قد تفاقم بسبب ميزة "DNA Relatives" الخاصة بشركة 23andMe.
وتقول الشركة: "يتم التعرف على الأقارب من خلال مقارنة الحمض النووي الخاص بك مع الحمض النووي لأعضاء 23andMe الآخرين الذين يشاركون في ميزة DNA Relatives"، وبعد الوصول إلى عدد غير معروف من الملفات الشخصية عبر حشو بيانات الاعتماد، يبدو أن جهة التهديد التي تقف وراء هذا الاختراق قامت بحذف نتائج "أقارب الحمض النووي" لتلك الملفات الشخصية، مما أدى إلى الحصول على بيانات أكثر حساسية بكثير ، وفقًا لنفس صفحة الأسئلة الشائعة.
ومنذ طرح شركة 23andMe للاكتتاب العام في عام 2021، واجهت الشركة تدقيقًا إضافيًا لممارسات حماية البيانات الخاصة بها - وهي محقة في ذلك، لأنها تتعامل مع البيانات الطبية الحساسة المستمدة من عينات اللعاب، بما في ذلك الاستعداد للإصابة بأمراض مثل الزهايمر والسكري من النوع الثاني وحتى السرطان. تزعم الشركة على موقعها الإلكتروني أنها "تتجاوز" معايير حماية البيانات الخاصة بصناعتها.