1 puntos por GN⁺ 2023-10-08 | 1 comentarios | Compartir por WhatsApp
  • Los datos de usuarios del servicio de pruebas genéticas 23andMe circularon en un foro de hackers, y la empresa cree que la causa fue un ataque de credential stuffing dirigido al reutilizo de contraseñas
  • Los atacantes accedieron a cuentas de 23andMe.com con credenciales expuestas en brechas de otras plataformas en línea, y la empresa explicó que hasta ahora no hay indicios de una intrusión en sus sistemas internos
  • Entre los datos expuestos hay información altamente identificable, como nombre real, nombre de usuario, foto de perfil, género, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica
  • La muestra inicial fue de 1 millón de registros de personas ashkenazíes, y después, el 4 de octubre, derivó en una oferta de venta masiva a 1 a 10 dólares por cuenta
  • Al extraerse datos de coincidencias de cuentas con la función DNA Relatives activada, una función social opcional puede convertirse en una vía inesperada de exposición de datos personales

Datos de 23andMe detectados en un foro de hackers

  • 23andMe sabe que datos de usuarios de su plataforma están circulando en foros de hackers y considera que se trata de una filtración derivada de un ataque de credential stuffing
  • La empresa es una compañía estadounidense de biotecnología y genómica que ofrece reportes de ascendencia y predisposición genética cuando los clientes envían una muestra de saliva al laboratorio
  • Un actor malicioso publicó una muestra de datos que afirmó haber robado de una empresa de genética y, días después, ofreció a la venta paquetes de datos de clientes de 23andMe

Credential stuffing y postura de la empresa

  • Un vocero de 23andMe confirmó que los datos publicados en el foro son datos reales de 23andMe
  • Según la investigación, los atacantes usaron credenciales expuestas en otras brechas para entrar a cuentas de 23andMe y robar datos sensibles
  • La empresa dijo que por ahora no hay señales de un incidente de seguridad de datos dentro de sus propios sistemas
  • Los resultados iniciales de la investigación sugieren que los datos de acceso reutilizados por usuarios en múltiples plataformas pudieron haberse filtrado en otros incidentes y luego fueron recopilados por los atacantes

Alcance de los datos filtrados y vendidos

  • Los datos divulgados al inicio eran limitados, pero el actor malicioso publicó 1 millón de registros de datos de personas ashkenazíes
  • El 4 de octubre ofreció vender perfiles de datos de forma masiva por 1 a 10 dólares por cuenta de 23andMe, dependiendo del volumen de compra
  • La información expuesta incluye los siguientes elementos
    • nombre completo
    • nombre de usuario
    • foto de perfil
    • género
    • fecha de nacimiento
    • resultados de ascendencia genética
    • ubicación geográfica

Propagación a través de la función DNA Relatives

  • La cantidad de cuentas vendidas no coincide exactamente con la cantidad de cuentas de 23andMe comprometidas mediante credenciales expuestas
  • Las cuentas comprometidas tenían activada la función DNA Relatives de 23andMe
  • DNA Relatives es una función que permite a los usuarios encontrar y conectarse con parientes genéticos
  • Tras acceder a un pequeño número de cuentas de 23andMe, los atacantes extrajeron los datos de coincidencias de DNA Relatives de esas cuentas
  • Este caso muestra que participar en ciertas funciones puede derivar en una exposición de datos personales no prevista

Medidas de protección que pueden tomar los usuarios

  • 23andMe ofrece verificación en dos pasos para proteger las cuentas y recomienda a todos los usuarios activarla
  • La guía correspondiente puede consultarse en Adding 2-Step Verification to Your 23andMe Account
  • Los usuarios deben evitar reutilizar contraseñas y usar credenciales sólidas y diferentes para cada cuenta en línea

1 comentarios

 
GN⁺ 2023-10-08
Opiniones en Hacker News
  • Si no estoy leyendo mal, parece que alguien ya tenía una base de datos filtrada de correos/contraseñas, la probó en 23andMe y, cuando lograba iniciar sesión, se llevaba los datos accesibles.
    Es cierto que 23andMe tiene datos muy amplios y personales, pero este tipo de ataque es posible literalmente contra cualquier sitio web.
    El punto clave es que la gente reutilizó contraseñas y tampoco activó la autenticación de dos factores.
    Así que la base de datos en venta no es más que una lista de correos/contraseñas de otras filtraciones que también funcionaron en 23andMe, junto con los datos de 23andMe que había en esas cuentas.
    Estrictamente hablando, es difícil verlo como una brecha de 23andMe en sí.

    • Aun si fuera así, 23andMe debió haberlo prevenido mejor.
      No entiendo por qué permitieron inicios de sesión desde una IP nueva sin verificación adicional.
      Tenían el correo, así que como mínimo podían hacer autenticación de dos factores por email, y como dijeron otros, un CAPTCHA también habría vuelto el ataque más lento y caro.
      Donde trabajo usamos ambas cosas, así que no es cierto que este ataque sea “posible literalmente contra cualquier sitio web”.
      Es vergonzoso que una empresa madura, incluso cotizada en bolsa, haya permitido credential stuffing a escala de millones de cuentas.
    • Creo que no debería leerse así.
      Lo más importante a lo que la gente podía acceder era el perfil completo de ADN en bruto, y muchas de las víctimas quedaron expuestas por personas que aceptaron la función “Relatives”, aunque sus propias cuentas hubieran estado seguras.
    • Se puede plantear una pregunta:
      ¿Debería permitirse que “la autenticación de dos factores esté desactivada” coexista con “datos muy amplios y personales”?
    • Es cierto que no fue un ataque sofisticado.
      Lo decepcionante es que este ataque funcionó bien a gran escala.
      En algunos sitios web se puede ejecutar este tipo de ataque a escala, pero si se eligen las métricas adecuadas para monitorear y generar alertas, del lado receptor suele ser algo bastante ruidoso y evidente.
      Dijeron que “por ahora no hay indicios de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas”, pero si ese sistema se usó para extraer datos de clientes y recién se dieron cuenta después de que esos datos se pusieron a la venta, ahí es donde tienen que empezar a mejorar.
      Viendo lo tarde que fue la divulgación, también parece posible que se hayan enterado recién después de recibir consultas de la prensa.
    • Los sitios web deberían mitigar el credential stuffing comparando contra contraseñas crackeadas conocidas.
      Pueden descargar la base de datos de contraseñas hasheadas de Troy Hunt, revisarla al iniciar sesión y, si la contraseña está filtrada, enviar al usuario al flujo de restablecimiento por correo.
      O también pueden usar la API.
      Es muy simple, y diría que es una buena práctica aceptada desde más o menos 2017.
      Esto es 100% responsabilidad de 23andMe.
      https://haveibeenpwned.com/Passwords
  • Me pregunto si las empresas empezarán a reconsiderar seriamente los “permisos transitivos” o “permisos de red”.
    Es muy parecido a lo que le pasó fuerte a Facebook hace años.
    Yo tenía permiso para ver todos los datos de mis amigos y, antes, con un solo botón podía permitir que alguien que lo solicitara viera no solo mi información, sino también la de mis amigos.
    Desde el punto de vista de ciencias de la computación, tiene sentido: si te doy acceso a todos mis datos, ya no puedo controlar con quién más los compartes.
    Pero desde el punto de vista humano, la mayoría no piensa que darte acceso a ti sea, en la práctica, darle acceso al mundo entero.
    Estos permisos de red convierten a las empresas que poseen esos datos en objetivos importantes.
    Porque un atacante puede obtener exponencialmente más datos con solo hackear unas cuantas cuentas.

    • ¿No se ve solo un subconjunto de la información del amigo, no toda?
      Me refiero al alcance que el autor configuró para que fuera visible para los amigos de sus amigos.
  • Según este tuit, es posible que los hackers hayan obtenido todos los datos, pero solo hayan filtrado una parte, es decir, 1.3 millones de registros.
    Esa parte sería la de datos de judíos asquenazíes.
    https://x.com/mattjay/status/1710370423311888724?s=20

    • Si es así, eso explicaría por qué pudieron obtener tantos datos con una cantidad pequeña de cuentas comprometidas.
      Los judíos asquenazíes estuvieron relativamente aislados genéticamente en comparación con el resto de los grupos europeos, y partieron de un grupo fundador relativamente pequeño.
      Por eso, con métricas estándar, se los detecta como parientes lejanos entre sí a nivel genético.
      Es decir, un cliente asquenazí promedio de 23andMe probablemente veía muchos más parientes que otros clientes y, por lo tanto, podía ver muchos más perfiles.
    • Soy usuario de 23andMe y tengo una proporción alta de ascendencia asquenazí, así que esperaba que mis datos también se hubieran filtrado, pero no estaban.
      Así que es muy probable que no sea la totalidad de los datos asquenazíes.
    • Ese tuit no tiene ninguna prueba de que esto haya sido algo más que el uso de contraseñas reutilizadas.
      Tampoco hay prueba de que fueran todos los datos.
    • Aunque viva cien años, creo que nunca voy a entender por qué la gente se obsesiona con los judíos.
    • Otro caso de terrorismo neonazi; qué buenos son los años 2020 /s
  • Me parece una idea interesante, pero precisamente por razones como esta he seguido rechazando estas pruebas genéticas.

    • No solo eso: también hay que asegurarse de que toda tu familia no se haga la prueba.
    • Recuerdo un chiste de Los Simpson donde Homer se entera de que el gobierno tiene el ADN de todos archivado y pregunta, y le responden algo como: “todos los que tocaron un centavo desde 1932”.
      Resultó que no hacía falta complicarlo tanto; bastaba con hacer que la gente lo enviara por correo por su cuenta ;)
    • A mí me pasa lo mismo, y ojalá hubiera regulaciones para proteger estos datos.
      Aunque ya parece agua derramada.
      https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
    • ¿No basta con hacerlo con un nombre falso?
    • Igual yo.
      Creo que tampoco voy a probar estos servicios en el futuro.
  • Ya lo dije varias veces, pero esto va a seguir pasando hasta que haya responsabilidad penal por la negligencia en la conservación y protección de datos.
    A las empresas no les importa, y por más que digan en PR, no les va a importar hasta que ellas mismas estén en riesgo directo.
    Cada vez que ocurre una filtración, repiten “lo sentimos muchísimo” como British Petroleum y le compran LifeLock a la gente.
    Es una completa estupidez.

    • No entiendo por qué 23andMe debería tener responsabilidad penal.
      Según el artículo, no hackearon a la empresa, sino cuentas individuales que usaban credenciales reutilizadas expuestas en otras filtraciones.
      Deberían haber tenido autenticación de dos factores, pero no creo que debamos criminalizar la falta de autenticación de dos factores.
  • Entré al sitio que aparecía en la captura y alguien estaba vendiendo supuestos materiales filtrados de la OTAN de una visita a Filipinas: “PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, etc.”.
    También había otro listado de una base de datos de ciudadanos ucranianos de 2023.
    ¡CIA, por favor no me maten! Juro que lo vi por accidente.
    En fin, tengo que volver a trabajar.

    • ¿Cuál es ese sitio?
  • 75 mil dólares.
    Una forma de demostrar que el gobierno no se toma en serio la privacidad sin decirlo.
    Hace tres semanas, la empresa de pruebas genéticas 1Health.io aceptó pagar una multa de 75 mil dólares a la FTC para resolver acusaciones de que no protegió adecuadamente datos genéticos y de salud sensibles, cambió retroactivamente su política de privacidad sin avisar ni obtener consentimiento de los clientes cuyos datos obtuvo, y engañó a los clientes haciéndoles creer que podían eliminar sus datos.

    • Solo la frase narcisista “welcome to you” en el empaque ya me da ganas de vomitar, y por esto apenas 75 mil dólares.
      Ojalá la empresa se hunda por completo.
    • Las consecuencias monstruosas que la gente suele mencionar cuando se filtran este tipo de datos en realidad no se están viendo.
      No hay investigaciones genéticas prohibidas en marcha, no suben las primas de seguros, no hay limpiezas étnicas por esta información.
      Puede haber algunos casos de robo de identidad y fraude bancario, pero en general el sistema existente puede manejarlos.
      Se detectan en el otro extremo.
      Si quieren multas grandes, tienen que demostrar daños grandes.
    • Como siempre, el capitalismo funciona al revés.
      Si realmente se tomaran en serio la privacidad, deberían darles 75 mil dólares de apoyo para arreglar el problema.
      Si les quitan 75 mil dólares del presupuesto de ingeniería, podrán hacer menos y se filtrarán más datos.
  • Hablando de las implicancias de privacidad de enviar tu ADN para secuenciarlo “por diversión”, 23andMe ya está cooperando con las fuerzas del orden.
    La ciencia de datos también mejoró lo suficiente como para que, aunque yo nunca haya entregado una muestra de ADN, puedan inferir mi identidad si un primo tercero envió una muestra.
    Una persona promedio tiene alrededor de 200 primos terceros.

    • ¿Puedes explicar mejor cómo funciona eso?
      Supongamos que uno de mis 200 primos terceros hizo la prueba con hisopo de 23andMe, y luego yo cometí un delito quizá al otro lado del país.
      Las fuerzas del orden recolectaron evidencia de ADN.
      ¿Qué pasa ahora?
    • ¿Las fuerzas del orden pueden consultar la base de datos de 23andMe con el ADN que recolectaron?
  • Tengo entendido que hay servicios genealógicos que crean diagramas Leeds-Collins y funcionan pidiéndoles a los usuarios sus credenciales de 23andMe.
    Es parecido a algunos servicios bancarios de terceros que les piden directamente a los usuarios sus credenciales bancarias.
    En este campo hay muchísimas prácticas de seguridad realmente malas.

    • Durante un tiempo existió una API OAuth2 de 23andMe y ofrecía SNPs como alcance de OAuth, así que en ese contexto es aún más lamentable.
  • Me pregunto si 23andMe podrá enviarme la contraseña de la cuenta de mi padre, que perdí hace años y para la que ya no tengo la dirección de correo.