一家领先的基因检测公司证实,在一次凭证填充活动之后,威胁行为者访问了客户的个人资料信息。
总部位于旧金山的23andMe为数百万客户提供DNA测试、血统信息和个性化健康见解。
然而,上周,一个名为魔像(Golem)的威胁行为者在breakachforums上发布了一则广告,向在线买家提供原始数据简介、量身定制的种族群体、个性化数据集等更多内容。
他们在广告中解释说:“提供的是数百万人的DNA图谱,每组数据还附带相应的电子邮件地址。”
100个配置文件的价格从1000美元起,10万个配置文件的价格最高为10万美元。
23andMe的一份声明证实,数据泄露不是由于黑客侵入了公司自己的网络,而是由于其客户的密码管理不善,他们似乎没有使用该网站的多因素身份验证(MFA)选项。
该公司指出:“我们目前没有任何迹象表明我们的系统发生了数据安全事故。”
它表示:“相反,这项调查的初步结果表明,这些访问尝试中使用的登录凭证可能是由威胁行为者从涉及其他在线平台的事件中泄露的数据中收集的,这些事件涉及用户回收登录凭证。”
据信,黑客通过先前受损的凭证获得了一小部分初始帐户的访问权限,但随后能够从已注册DNA亲属功能的其他用户那里抓取数据。
泄露的数据包括全名、用户名、个人资料照片、性别、出生日期、地点和血统结果。