23andMe 数据泄露事件概述

关键要点

23andMe 发布的遗传数据和健康报告在 2023 年的网络攻击中被窃取。该攻击持续了约五个月，攻击者通过凭证填充技术直接访问了至少 14000 个用户账户。事件导致大约 690 万名客户的数据受到影响。23andMe 在网络攻击发生后，强化了安全措施，包括强制用户重置密码和实施双重身份验证2FA。目前该公司面临多个集体诉讼，指控其未能保护用户数据。

23andMe 最近披露，原始基因组数据和健康报告是从 2023 年 4 月末到 9 月底的网络攻击中被盗取的，攻击事件于 10 月初才被公司察觉。

23andMe 数据泄露持续了五个月

23andMe 卫星图发现，攻击自 2023 年 4 月 29 日开始，持续了近五个月，攻击者通过凭证填充直接访问了至少 14000 个账户，并利用这些账户下载了其他用户的数据，包括 DNA 亲属和家族树配置文件特征。最终受影响的客户总数大约为 690 万人。

事件暴露的首个信号来源于 10 月 1 日一名用户在 Reddit 的非官方 23andMe 论坛上广告盗取的数据。此后，公司立即开展调查，联系了联邦执法部门，并聘请了第三方事件响应专家。

为增强安全性，23andMe 于 10 月 10 日要求客户重置密码，并于 11 月 6 日开始实施双重身份验证。公司于 12 月 1 日结束了调查，并很快披露了受害者的总人数。

在非法的 BreachForums 上，曾发布过包含被盗数据的文件链接，虽然这些链接在创建后的 24 小时内就过期了，但23andMe 在其最新通知中表示，仍在努力清除其他未指定网站上的重新上传文件。

网络安全专家 Mitch Tanenbaum 在一篇博文中认为，这起网络攻击事件之所以能够长时间未被检测到，很可能因为未能对正确的活动进行记录或警报。

“如果你不关注正确的事件，不在适当的事件上发出警报，也不调查这些事件，黑客可以自由行动，可能永远如此。” Mitch Tanenbaum

被盗的基因数据和健康报告

23andMe 曾发布了八个不同版本的数据泄露通知，包括三封电子邮件和五封正式信件。这些通知针对不同的接收者，取决于泄露的数据类型，以及这些数据是通过凭证填充直接访问还是通过抓取 DNA 亲属功能间接获得。

clash verge

其中一版通知告知接收者，他们的“未中断原始基因型数据”已被下载或访问。用户可以通过“浏览原始数据”功能查看 23andMe 提供的原始基因数据，或者以 txt 文件格式下载。该数据列出了在特定基因标记位置上发现的碱基对A、T、G 和 C 的组合。

下载自 23andMe 的原始基因组数据文件还能上传到其他服务以进行进一步解释，或寻找使用其他测试服务的基因亲属。有的网站如 GEDmatch会将用户上传的遗传数据用于执法部门与刑事案件的 DNA 证据进行对比。

因网络攻击，23andMe 已无限期禁用下载原始基因数据文件的功能。

其他信件则告知客户，其基于基因信息的健康报告在此次泄露中被盗，包括健康易感性、健康状况和某些疾病的携带者状态等报告。23andMe 提供的健康测试服务报告包括 2 型糖尿病易感性、囊性纤维化携带者状态、乳糖不耐症的可能性等，涵盖了数十种情况。

剩余的通知则披露了从受攻击账户的DNA亲属和家族树配置文件信息中抓取的不同程度的数据。攻击者能够访问这些数据，是由于用户选择与基因相关的其他用户共享某些个人信息。

从 DNA 亲属和家族树功能中泄露的数据包括祖先报告、与 DNA 亲属匹配的预测关系、自报的信息，例如位置、