23andMe、攻撃者が数か月前に大規模な侵害で生の遺伝子型データを盗んだことを確認

大規模なデータセキュリティ侵害で、著名な消費者直販遺伝子検査サービスである 23andMe は、数か月前に攻撃者が数百万人のユーザーから生の遺伝子型データを盗むことに成功したことを確認しました。同社は影響を受けるユーザーに対し、侵害された情報には遺伝子型データ、健康レポート、その他の機密情報が含まれていることを通知しました。

この侵害は 2023 年 4 月下旬から 2023 年 9 月までの 5 か月間続き、23andMe のシステムへの直接侵入ではなく、クレデンシャルスタッフィング攻撃によって発生しました。攻撃者は再利用されたパスワードを悪用し、ユーザー アカウントへの不正アクセスを取得しました。影響を受けた個人に送信された侵害通知によると、攻撃者は、ユーザーが以前に侵害された他の Web サイトと同じログイン資格情報を 23andMe.com で使用していたという事実を利用しました。

23andMe が実施した調査により、攻撃者がユーザーの生の遺伝子型データや、健康レポート、健康素因レポート、健康レポート、キャリアステータスレポートなどのその他の機密情報に継続的にアクセスできたことが明らかになりました。この侵害は、非常に個人的かつプライベートな遺伝データや健康関連データの漏洩を伴うため、重大なリスクをもたらします。

興味深いことに、前年の 10 月に、Golem として知られる攻撃者が 700 万人の 23andMe ユーザーからデータを入手したと主張しました。盗まれたデータサンプルはサイバー犯罪市場の BreachForums で共有され、そこには名前、性別、年齢、場所、父方および母方の祖先を追跡する系統、yDNA、mtDNA ハプログループなどの祖先マーカーなどのエントリが含まれていました。注目すべきことに、ある漏洩は100万人のユダヤ系アシュケナージ系「有名人」をターゲットにしたとされるが、別の漏洩は主にイギリス出身の400万人以上の個人で構成されていた。フォーラムの元の投稿は削除されましたが、他のフォーラム メンバーがデータの再投稿を続けています。

このセキュリティインシデントを受けて、23andMe はすべてのユーザーに多要素認証を導入するという積極的な対策を講じました。この追加のセキュリティ層は、保護を強化し、不正アクセスのリスクを軽減することを目的としており、相互接続がますます進むデジタル環境において機密の遺伝情報や健康情報を保護することの重要性を強調しています。この侵害は、ユーザー データの保護において企業が直面している継続的な課題と、さまざまなオンライン プラットフォームにわたって強力で固有のパスワードを維持する上でユーザーが果たす重要な役割を思い出させるものとなっています。