Vn-Z.vn Ngày 19 tháng 10 năm 2023, 23andMe là một dịch vụ xét nghiệm DNA lớn tại Hoa Kỳ, dịch vụ này có một chức năng là cho phép bạn tìm "họ hàng DNA" với các người dùng khác trên nền tảng. Sử dụng hệ thống này là tùy chọn, nhưng khi người dùng thực hiện việc này, họ tạo ra một hồ sơ mà thành viên khác có thể nhìn thấy, cho phép họ xem kết quả về tổ tiên, cùng với ảnh và năm sinh nếu được cung cấp.
Vào đầu tháng 10, trên các trang darkweb, có một số hacker tuyên bố họ đã xâm nhập vào hệ thống của 23andMe và đánh cắp hàng triệu thông tin người dùng của dịch vụ này.
Hôm nay sau khoảng gần 2 tuần, có vẻ như đàm phán giữa hacker và nhà cung cấp dịch vụ không đạt được sự thống nhất. Trên các trang darkweb , hacker bắt đầu phát tán một số thông tin người dùng mà hacker cho là của dịch vụ 23andMe
Trên darkweb, Hacker cho biết 23andMe coi những thông tin rò rỉ này không phải là những hành động xâm nhập dữ liệu mà là violation of site rules. Vì vậy Hacker đã tiến hành công bố các thông tin nhằm chứng minh những hành động của họ.
Hacker cho rằng hệ thống bảo mật của 23andMe tồn tại các lỗ hổng , thậm chí còn tiết lộ thông tin của một số nhân vật nổi tiếng và giàu có trên thế giới.
Hacker khẳng định tập dữ liệu chứa thông tin về những người đến từ Vương quốc Anh, bao gồm cả dữ liệu từ "những người giàu nhất sống ở Mỹ và Tây Âu có trong danh sách.
Hiện 23andMe, đã biết các thông tin bị rò rỉ mới này vào hôm nay và đang tiến hành "xem xét dữ liệu nhằm xác định tính hợp lệ của nó."
23andMe đang yêu cầu người dùng thay đổi mật khẩu và khuyến khích bật chế độ xác thực đa yếu tố. Trên trang chính thức của mình, 23andMe cho biết vẫn đang tiến hành điều tra với sự trợ giúp từ "các chuyên gia pháp y bên thứ ba." 23andMe đổ lỗi cho sự cố này vào khách hàng của họ vì việc tái sử dụng mật khẩu và tính năng tùy chọn gọi là "DNA Relatives", cho phép người dùng xem dữ liệu của người dùng khác đã chọn tham gia mà dữ liệu gene của họ phù hợp. Nếu người dùng bật tính năng này, lý thuyết là nó sẽ cho phép hacker thu thập dữ liệu của nhiều người dùng bằng cách xâm nhập vào tài khoản của một người dùng duy nhất.
Vẫn còn nhiều câu hỏi chưa có câu trả lời về sự cố này. Chưa biết liệu hacker đã sử dụng kỹ thuật "credential stuffing" hay không ?Kỹ thuật này được hacker sử dụng các danh sách các tên người dùng hoặc địa chỉ email đã được công khai từ các vụ vi phạm dữ liệu trước đó, kết hợp với một danh sách các mật khẩu phổ biến, để đăng nhập vào các tài khoản người dùng trên các nền tảng khác nhau . Không rõ dữ liệu này có liên quan đến 92 triệu người dùng MyHeritage, nơi có nhiều thành viên chung của 23andMe, bao gồm cả Giám đốc điều hành của 23andMe.
Thông tin DNA được hacker nói là của CEO 23andMe
Sự cố này có vẻ đã xảy ra hoặc ít nhất đã bắt đầu từ vài tháng trước đây. Trước đây vào ngày 11 tháng 8, một hacker trên darkweb khác cũng tuyên bố đang nắm trong tay 300 terabytes dữ liệu người dùng 23andMe, mặc dù không cung cấp bằng chứng cho tuyên bố này.
Vụ việc vẫn đang được các bên điều tra và còn có nhiều vấn đề cần giải thích . Hiện tại người dùng dịch vụ 23andMe vẫn vẫn chưa biết được mức độ ảnh hưởng của vụ rò rỉ dữ liệu này, không rõ có bao nhiêu dữ liệu của 23andMe đã bị lấy đi.
Rò rỉ Dữ liệu DNA có thể nguy hiểm hơn thông tin thẻ tín dụng bị rò rỉ , dữ liệu DNA có giá trị kinh tế và sử dụng trong nhiều mục đích khác nhau. Công ty bảo hiểm có thể sử dụng dữ liệu di truyền để đánh giá rủi ro và tính toán chi phí bảo hiểm y tế và nhân thọ. Các nhà khoa học cần dữ liệu DNA để nghiên cứu di truyền và bệnh tật. Cảnh sát có thể sử dụng dữ liệu DNA để giúp điều tra tội phạm và xác định danh tính.
Mất thông tin thẻ tín dụng có thể được thay thế, nhưng mã DNA của một người là duy nhất và không thể thay đổi. Rò rỉ và đánh cắp dữ liệu DNA có hậu quả lớn hơn việc bị mất thông tin tín dụng. Thông tin di truyền cá nhân chứa thông tin nhạy cảm về sức khỏe, nguồn gốc dân tộc và tiềm năng di truyền. Tiết lộ hoặc lạm dụng dữ liệu DNA có thể gây hậu quả nghiêm trọng cho quyền riêng tư, danh tính và sức khỏe của một người.
Cập nhật ngày 20 tháng 10 năm 2023.
Hacker tiếp tục đưa ra các bằng chứng cho rằng 23andMe tồn tại nhiều lỗ hổng. Nhiều người thắc mắc rằng tại sao anh ta không tiếp tục rao bán dữ liệu này . Với tư cách là một hacker , anh ta vẫn có đạo đức và cảm thấy mức độ nguy hiểm ở "cấp độ nhân loại" khi rao bán dữ liệu nhạy cảm này. Hacker đã đàm phán với 23andMe và đưa ra mức giá là 100.000 USD cho việc cung cấp toàn bộ các lỗ hổng mà anh ta đã phát hiện ra. Tuy nhiên Hacker cho biết rằng 23andMe vẫn từ chối và vẫn nói rằng hệ thống của họ không có lỗ hổng an ninh mạng. Hacker cho biết thêm 23andMe đang tố cáo họ với FBI, cả 23andMe và lực lượng liên bang FBI đang theo dõi hacker này suốt những ngày qua.
Hacker nói rằng anh ta không đòi tiền chuộc ở đây mà anh ta chỉ đưa ra mức giá dịch vụ cho việc anh ta phát hiện ra các lỗ hổng cũng như xoá toàn bộ các dữ liệu hacker đã lấy về. Hacker cũng đưa ra lưu ý cho thành viên 23andMe là xoá tài khoản trong vòng 3 ngày để tránh những lộn xộn và nguy cơ rò rỉ dữ liệu DNA , sức khoẻ cá nhân.
Sau thời gian này hacker sẽ tiếp tục quay trở lại và bán tất cả dữ liệu của các thành viên 23andMe đang hoạt động .
Hôm nay sau khoảng gần 2 tuần, có vẻ như đàm phán giữa hacker và nhà cung cấp dịch vụ không đạt được sự thống nhất. Trên các trang darkweb , hacker bắt đầu phát tán một số thông tin người dùng mà hacker cho là của dịch vụ 23andMe
Trên darkweb, Hacker cho biết 23andMe coi những thông tin rò rỉ này không phải là những hành động xâm nhập dữ liệu mà là violation of site rules. Vì vậy Hacker đã tiến hành công bố các thông tin nhằm chứng minh những hành động của họ.
Hacker cho rằng hệ thống bảo mật của 23andMe tồn tại các lỗ hổng , thậm chí còn tiết lộ thông tin của một số nhân vật nổi tiếng và giàu có trên thế giới.
Hacker khẳng định tập dữ liệu chứa thông tin về những người đến từ Vương quốc Anh, bao gồm cả dữ liệu từ "những người giàu nhất sống ở Mỹ và Tây Âu có trong danh sách.
23andMe đang yêu cầu người dùng thay đổi mật khẩu và khuyến khích bật chế độ xác thực đa yếu tố. Trên trang chính thức của mình, 23andMe cho biết vẫn đang tiến hành điều tra với sự trợ giúp từ "các chuyên gia pháp y bên thứ ba." 23andMe đổ lỗi cho sự cố này vào khách hàng của họ vì việc tái sử dụng mật khẩu và tính năng tùy chọn gọi là "DNA Relatives", cho phép người dùng xem dữ liệu của người dùng khác đã chọn tham gia mà dữ liệu gene của họ phù hợp. Nếu người dùng bật tính năng này, lý thuyết là nó sẽ cho phép hacker thu thập dữ liệu của nhiều người dùng bằng cách xâm nhập vào tài khoản của một người dùng duy nhất.
Vẫn còn nhiều câu hỏi chưa có câu trả lời về sự cố này. Chưa biết liệu hacker đã sử dụng kỹ thuật "credential stuffing" hay không ?Kỹ thuật này được hacker sử dụng các danh sách các tên người dùng hoặc địa chỉ email đã được công khai từ các vụ vi phạm dữ liệu trước đó, kết hợp với một danh sách các mật khẩu phổ biến, để đăng nhập vào các tài khoản người dùng trên các nền tảng khác nhau . Không rõ dữ liệu này có liên quan đến 92 triệu người dùng MyHeritage, nơi có nhiều thành viên chung của 23andMe, bao gồm cả Giám đốc điều hành của 23andMe.
Thông tin DNA được hacker nói là của CEO 23andMe
Vụ việc vẫn đang được các bên điều tra và còn có nhiều vấn đề cần giải thích . Hiện tại người dùng dịch vụ 23andMe vẫn vẫn chưa biết được mức độ ảnh hưởng của vụ rò rỉ dữ liệu này, không rõ có bao nhiêu dữ liệu của 23andMe đã bị lấy đi.
Rò rỉ Dữ liệu DNA có thể nguy hiểm hơn thông tin thẻ tín dụng bị rò rỉ , dữ liệu DNA có giá trị kinh tế và sử dụng trong nhiều mục đích khác nhau. Công ty bảo hiểm có thể sử dụng dữ liệu di truyền để đánh giá rủi ro và tính toán chi phí bảo hiểm y tế và nhân thọ. Các nhà khoa học cần dữ liệu DNA để nghiên cứu di truyền và bệnh tật. Cảnh sát có thể sử dụng dữ liệu DNA để giúp điều tra tội phạm và xác định danh tính.
Mất thông tin thẻ tín dụng có thể được thay thế, nhưng mã DNA của một người là duy nhất và không thể thay đổi. Rò rỉ và đánh cắp dữ liệu DNA có hậu quả lớn hơn việc bị mất thông tin tín dụng. Thông tin di truyền cá nhân chứa thông tin nhạy cảm về sức khỏe, nguồn gốc dân tộc và tiềm năng di truyền. Tiết lộ hoặc lạm dụng dữ liệu DNA có thể gây hậu quả nghiêm trọng cho quyền riêng tư, danh tính và sức khỏe của một người.
Cập nhật ngày 20 tháng 10 năm 2023.
Hacker tiếp tục đưa ra các bằng chứng cho rằng 23andMe tồn tại nhiều lỗ hổng. Nhiều người thắc mắc rằng tại sao anh ta không tiếp tục rao bán dữ liệu này . Với tư cách là một hacker , anh ta vẫn có đạo đức và cảm thấy mức độ nguy hiểm ở "cấp độ nhân loại" khi rao bán dữ liệu nhạy cảm này. Hacker đã đàm phán với 23andMe và đưa ra mức giá là 100.000 USD cho việc cung cấp toàn bộ các lỗ hổng mà anh ta đã phát hiện ra. Tuy nhiên Hacker cho biết rằng 23andMe vẫn từ chối và vẫn nói rằng hệ thống của họ không có lỗ hổng an ninh mạng. Hacker cho biết thêm 23andMe đang tố cáo họ với FBI, cả 23andMe và lực lượng liên bang FBI đang theo dõi hacker này suốt những ngày qua.
Hacker nói rằng anh ta không đòi tiền chuộc ở đây mà anh ta chỉ đưa ra mức giá dịch vụ cho việc anh ta phát hiện ra các lỗ hổng cũng như xoá toàn bộ các dữ liệu hacker đã lấy về. Hacker cũng đưa ra lưu ý cho thành viên 23andMe là xoá tài khoản trong vòng 3 ngày để tránh những lộn xộn và nguy cơ rò rỉ dữ liệu DNA , sức khoẻ cá nhân.
Sau thời gian này hacker sẽ tiếp tục quay trở lại và bán tất cả dữ liệu của các thành viên 23andMe đang hoạt động .
