انتشار شده در تاریخ 1402/07/18 - 12:39

هک یک شرکت تخصصی DNA و فروش اطلاعات میلیون‌ها کاربر در دارک وب

اخیرا شرکت 23andMe که به طور تخصصی در مورد تجزیه و تحلیل DNA کار می‌کند، هک شده و داده‌های میلیون‌ها کاربر در دارک وب به فروش رفته است.

شرکت به گزارش کارگروه امنیت سایبربان ؛ 23andMe، یک شرکت بیوتکنولوژی متخصص در ارائه خدمات تجزیه و تحلیل DNA، تایید کرد که سایت این شرکت پس از دسترسی هکر‌ها به حساب ها، هک شده و اطلاعات کاربران از پایگاه داده آن به سرقت رفته و در انجمن‌های دارک وب منتشر شده است.

وبسایت BleepingComputer فاش کرد که یک هکر یک میلیون سطر داده را از شرکت 23andMe افشا کرده و این هکر‌ها داده‌های سرقت شده را به قیمت یک تا ۱۰ دلار به ازای هر حساب به فروش می‌رسانند. داده‌ها شامل نام کاربری، عکس‌های پروفایل، نتایج نسب ژنتیکی، تاریخ تولد و موقعیت جغرافیایی کاربران هستند.

طبق این گزارش، 23andMe تایید کرده است که این داده‌ها در ایمیلی به The Verge نیز به اشتراک گذاشته شده اند. اسکات هدلی، مدیر 23andMe گفت: نتایج اولیه این تحقیقات نشان می‌دهند که اطلاعات ورود به سیستم ممکن است طی رخداد‌هایی در پلتفرم‌هایی دیگر که کاربران از آن‌ها استفاده می‌کنند، افشا شده باشند؛ چرا که هیچ نشانه‌ای از وقوع حادثه امنیتی در سیستم‌های ما وجود ندارد.

وبسایت BleepingComputer گزارش داده است که داده‌های سایر کاربران با استفاده از یکی از ویژگی‌های اشتراک شرکت 23andMe به نام DNA Relatives استخراج شده است.

جزئیات عملیات هک

یک حمله هکری برای کسب داده‌های کاربر شامل اطلاعات از قبل به خطر افتاده کاربر (مانند نام‌های کاربری و رمز‌های عبور) در یک سازمان است که هکر آن‌ها را به دست آورده و سعی می‌کند از آن برای ورود به یک سازمان دیگر که در این جا شرکت 23andMe است، مجددا استفاده کند.

به نظر می‌رسد که عاملان این حمله اطلاعات بسیار حساسی را از حساب‌های در معرض خطر (نتایج آزمایش ژنتیکی، عکس‌ها، نام کامل و موقعیت جغرافیایی، از جمله موارد دیگر) به دست آورده‌اند و این داده‌ها به صورت انبوه و در حجم‌های ۱۰۰، ۱۰۰۰، ۱۰۰۰۰ یا ۱۰۰۰۰۰ در معرض فروش قرار گرفته اند. حجم پرونده‌های هک شده در این حمله هنوز مشخص نیست؛ اما دامنه تأثیر آن احتمالاً به دلیل ویژگی «DNA Relatives» متعلق به 23andMe تشدید شده است.

از زمانی که 23andMe در سال ۲۰۲۱ پذیره نویسی شد، این شرکت با بررسی‌های بیشتری در مورد شیوه‌های حفاظت از داده‌های خود مواجه شده است و به درستی این گونه است، زیرا داده‌های پزشکی حساس به دست آمده از نمونه‌های بزاق، از جمله استعداد ابتلا به بیماری‌هایی مانند آلزایمر، دیابت نوع ۲ و حتی سرطان را مدیریت می‌کند. این شرکت در وب سایت خود ادعا کرده است که فراتر از استاندارد‌های حفاظت از داده‌های صنعت خود عمل می‌کند.