23andMe revela que datos de usuarios fueron robados en un ataque de credential stuffing

 (bleepingcomputer.com)
1 puntos por GN⁺ 2023-10-08 | 1 comentarios | Compartir por WhatsApp
  • 23andMe, empresa estadounidense de biotecnología y genómica, confirmó una filtración de datos relacionada con los datos de usuarios de su plataforma.
  • La empresa afirma que la filtración se debió a un ataque de credential stuffing.
  • La filtración inicial fue limitada, y el actor de amenaza publicó 1 millón de registros de datos sobre personas de ascendencia asquenazí.
  • Más tarde, el actor de amenaza ofreció vender perfiles de datos en masa a entre 1 y 10 dólares por cuenta de 23andMe.
  • Los datos expuestos incluyen nombre completo, nombre de usuario, foto de perfil, género, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica.
  • Las cuentas comprometidas participaban en la función 'Parientes de ADN' de la plataforma, que permite a los usuarios encontrar familiares genéticos y conectarse con ellos.
  • El actor de amenaza accedió a una pequeña cantidad de cuentas de 23andMe y luego extrajo los datos de coincidencias de sus parientes de ADN.
  • 23andMe indicó que las credenciales de inicio de sesión usadas en estos intentos de acceso podrían haber sido recopiladas por el actor de amenaza a partir de filtraciones de datos en otros incidentes ocurridos en plataformas en línea donde los usuarios reutilizaron sus credenciales.
  • Como medida adicional de protección de cuentas, la empresa ofrece autenticación de dos factores y recomienda a todos los usuarios activarla.
  • También se aconsejó a los usuarios no reutilizar contraseñas y usar credenciales fuertes y únicas de forma consistente en todas sus cuentas en línea.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-08
Opiniones de Hacker News
  • El robo de datos de usuarios en 23andMe se debió a un ataque de credential stuffing que utilizó bases de datos de correos electrónicos/contraseñas filtradas previamente para acceder al sitio.
  • El problema ocurrió porque la gente reutiliza contraseñas y no activa la autenticación de dos factores.
  • Los datos puestos a la venta incluyen correos electrónicos/contraseñas de otras filtraciones que funcionaban en 23andMe y los datos que 23andMe tenía sobre esos usuarios.
  • El incidente generó preocupación sobre los "privilegios transitivos" o "privilegios de red". Esto significa que, si se le da acceso a una persona, también podría obtenerse acceso a otras.
  • Algunos usuarios están evitando las pruebas genéticas debido a estas preocupaciones de seguridad.
  • Se especula que los hackers tuvieron acceso a todos los datos, pero que solo filtraron 1.3 millones de registros de judíos asquenazíes.
  • Algunos usuarios creen que este tipo de filtraciones seguirá ocurriendo hasta que exista responsabilidad penal por la negligencia en la conservación/protección de los datos.
  • La cooperación de 23andMe con las fuerzas del orden y la capacidad de identificar a una persona basándose en muestras de ADN de primos terceros genera preocupación por la privacidad.
  • El hecho de que la empresa de pruebas genéticas 1Health.io pagara una multa de 75,000 dólares a la FTC por no proteger datos sensibles se considera una prueba de que el gobierno no se toma en serio la privacidad.
  • Se ha reportado que algunos servicios de genealogía les piden a los usuarios sus credenciales de 23andMe, lo que indica que la seguridad en este sector es débil.
  • Este incidente provocó críticas a que las personas confíen su información genética a empresas privadas.