Se filtran millones más de registros de usuarios de 23andMe en un foro de ciberdelincuencia
(techcrunch.com)- A dos semanas de que se conociera por primera vez la filtración de datos de usuarios de 23andMe, el mismo hacker publicó en BreachForums un nuevo conjunto de datos de 4 millones de personas
- El hacker, llamado Golem, afirmó que el nuevo conjunto de datos incluye usuarios de Great Britain y también información de “las personas más ricas que viven en Estados Unidos y Europa Occidental”
- TechCrunch confirmó que parte de los nuevos datos filtrados coincide con usuarios e información genética de 23andMe ya publicados
- Tras enterarse de la nueva filtración, 23andMe está revisando la autenticidad de los datos, y anteriormente había indicado a los usuarios cambiar sus contraseñas y activar la autenticación multifactor
- El método real de intrusión, el alcance total de la filtración y el propósito de uso de los datos robados aún no han sido confirmados, por lo que persisten riesgos adicionales para los usuarios de 23andMe
Datos adicionales publicados en BreachForums
- Un hacker llamado Golem publicó en el foro de ciberdelincuencia BreachForums un nuevo conjunto de datos con 4 millones de registros de usuarios de 23andMe
- Es el mismo individuo que dos semanas antes filtró un paquete de datos de usuarios robados a la empresa de pruebas genéticas 23andMe
- TechCrunch confirmó que parte de los datos recién filtrados coincide con usuarios e información genética de 23andMe ya publicados
- Golem afirmó que el conjunto de datos incluye información de personas de Great Britain
- También afirmó que la lista incluye datos de “las personas más ricas que viven en Estados Unidos y Europa Occidental”
- El vocero de 23andMe, Andy Kill, dijo que la empresa está al tanto de la nueva filtración y que está revisando si los datos son realmente de 23andMe
La explicación del incidente por parte de 23andMe y medidas de seguridad de cuentas
- El 6 de octubre, 23andMe anunció que un hacker había obtenido algunos datos de usuarios, y explicó que el hacker usó credential stuffing
- El credential stuffing es una técnica que prueba combinaciones de nombres de usuario o correos electrónicos y contraseñas ya expuestas en otras filtraciones de datos
- Como respuesta al incidente, 23andMe exigió a los usuarios cambiar sus contraseñas y recomendó activar la autenticación multifactor
- Según la página oficial de respuesta al incidente, 23andMe inició una investigación con ayuda de “expertos forenses externos”
- La empresa señaló como causa del incidente la reutilización de contraseñas por parte de clientes y la función opcional DNA Relatives
- DNA Relatives es una función que permite ver datos de otros usuarios participantes opcionales cuyos datos genéticos coinciden
- Si esta función está activada, un hacker puede entrar en una cuenta y hacer scraping de datos de varios usuarios
Preguntas aún sin resolver
- No está claro si el hacker realmente usó credential stuffing o si empleó otra técnica
- La cantidad total de datos de usuarios robados aún se desconoce
- Tampoco se ha confirmado cómo pretende usar los datos el hacker
- Es posible que este incidente se haya llevado a cabo, o al menos haya comenzado, varios meses antes
- El 11 de agosto, en otro foro de ciberdelincuencia llamado Hydra, un hacker anunció un conjunto de datos de usuarios de 23andMe
- Según el análisis de TechCrunch, ese conjunto de datos coincide con parte de los registros de usuarios filtrados dos semanas antes
- El hacker de Hydra afirmó tener 300 TB de datos de usuarios de 23andMe, pero no aportó pruebas
- Hasta ahora, el alcance total de la filtración de datos no está claro, y 23andMe aparentemente todavía no ha determinado cuántos datos fueron sustraídos
1 comentarios
Opiniones de Hacker News
Que 23andMe culpe a la reutilización de contraseñas por parte de sus clientes y a DNA Relatives, una función opcional que permite ver datos de otros participantes con coincidencias genéticas, es una forma de desviar la atención del problema central.
Las opciones para compartir en DNA Relatives no son lo bastante granulares y, básicamente, solo tienen un par de niveles, lo cual no alcanza.
Además, 23andMe limita la visibilidad a los 1,500 contactos más cercanos entre quienes participan en DNA Relatives, pero con esa estructura, si un hacker tomaba el control de apenas unos miles de cuentas, habría podido recopilar de la mayor parte de la base de datos haplogrupos, predicciones de origen étnico, nombres, perfiles, listas de familiares e información de origen geográfico.
Ese límite de 1,500 personas ayuda en teoría, pero durante un tiempo reciente también se podían ver perfiles fuera de ese rango, y no está claro si eso formó parte del método de abuso.
Si para obtener privacidad completa hay que darse de baja, no entiendo cómo esto puede ser una función de participación opcional.
Tampoco queda claro qué significa aquí privacidad completa ni en qué se diferencia de la privacidad que uno podría esperar razonablemente.
Me parece que la afirmación de la empresa de que esta función es opcional no tiene sentido.
Si un usuario reutilizó una contraseña, eso puede explicar que se comprometiera una cuenta individual, pero una empresa podría haber mitigado fácilmente que el daño escalara.
No debería ser posible extraer datos de millones de personas solo con un conjunto de cuentas hackeadas.
Me pregunto si la CEO de 23andMe también terminará siendo arrastrada al Congreso durante los próximos 10 años.
Usar 23andMe es uno de los mayores arrepentimientos de mi vida. Lo hice cuando estaba en oferta en Amazon, antes de preocuparme por la privacidad.
Aunque pida la eliminación, no tengo ninguna confianza en que realmente borren mis datos, e incluso si los borran, no sé si esos datos ya están vivos dentro de algún modelo o investigación.
Hay una parte de mí que ni siquiera quiere saber si mis datos estuvieron incluidos en esta filtración. Esto se siente distinto a una filtración de tarjetas de crédito o datos de compras.
Lo peor es que llevaba mucho tiempo sin entrar a 23andMe y probablemente fue antes de que me preocupara en serio por la seguridad de contraseñas, así que no me sorprendería.
Facebook y Google tienen una imagen mucho más precisa que pueden usar para manipular a la gente, y 23andMe no es más que una curiosidad.
Mis datos probablemente también estén en esta filtración, pero no voy a gastar ni un segundo de mi vida lamentándolo.
Mejor esperar a ver si se puede recibir algo en una demanda colectiva. Si llega por correo un cheque ridículamente pequeño como con el hackeo de Experian, al menos tendré algo que poner sobre la mesa de centro.
Eso sí, me registré con un seudónimo, le di el kit de prueba a mi padre e hice que una tía también se hiciera la prueba.
No fue exacto, pero bastó para satisfacer la curiosidad.
Al final, todo será hackeado algún día. Como dijo un hacker famoso, hay que asumir que todo lo que se diga o se escriba algún día se volverá información pública.
Y por si acaso, algunos dirán “¿cómo pudiste hacerle eso a tu padre?”, pero si lo conocieran, lo entenderían. Vive casi desconectado de la red y pronto va a morir; mi tía ya falleció.
Soy una de las personas afectadas por la filtración. Soy una persona con conocimientos técnicos, entiendo bastante de seguridad y uso contraseñas únicas y seguras en todos lados.
Esta empresa y su maldita forma de evadir responsabilidades me dan asco.
Esto no es más que doxxing corporativo. Va a seguir pasando hasta que ejecutivos individuales de las grandes empresas que le escupen en la cara a sus usuarios asuman responsabilidad personal por estas cosas.
Hasta entonces, no tienen ninguna obligación real de preocuparse. No somos más que materia prima para una máquina de hacer dinero.
Lo que más me enfurece no es la filtración en sí, sino la falta de responsabilidad.
Me sorprende el tono de culpar a las víctimas en los comentarios.
Incluso suponiendo que cada persona tenga 1,500 coincidencias y que no haya parientes repetidos, para llegar al volumen de datos filtrados, unos 14 millones de personas, se necesitarían aproximadamente 10,000 cuentas hackeadas con éxito.
En realidad hay muchas personas con parientes superpuestos, así que tendrían que haber atacado muchísimas más cuentas que 10,000, y durante todo ese tiempo 23andMe no tendría que haber notado nada sospechoso. Eso suena muy poco verosímil.
23andMe afirma que la causa raíz de esta filtración fue el credential stuffing, pero los hackers que publicaron esto por primera vez en Hydra Market hace dos meses dijeron que simplemente usaron o abusaron de la API que 23andMe ofrecía a socios académicos y de investigación.
Los hackers afirmaron tener 300 TB, incluidos datos en bruto, aunque todavía no han presentado pruebas de que el alcance del ataque fuera tan grande. Pero si esa afirmación es cierta, esta brecha encaja mucho mejor con el supuesto uso de la API que con credential stuffing.
Por lo tanto, si la escala indicada por los atacantes es correcta, es mucho más probable que hayan extraído todos los datos mediante una de las API de 23andMe que mediante credential stuffing. Es posible que uno de los investigadores asociados haya sido hackeado, o que existiera —o incluso exista todavía— una vulnerabilidad de control de acceso en la API que permitiera a los atacantes volver a extraer todos los datos.
No hay mucha información sobre las API que ofrece 23andMe, pero encontré una en RapidAPI (https://rapidapi.com/23andme/api/23andme); si hubo una vulnerabilidad de control de acceso o un hackeo de usuario con escalamiento de privilegios, podrían haber tomado a una sola persona como punto de partida, descargar datos desde varios endpoints y, mediante el endpoint de parientes, recorrer recursivamente a todos los familiares y descargar a cada uno una vez. Incluso hay un endpoint para el genoma completo de una persona.
Por ahora desconfío mucho de la línea de defensa de 23andMe, pero hasta que los atacantes publiquen pruebas de que tienen datos en bruto será difícil demostrar que la empresa está equivocada o miente sobre el alcance real del ataque. Aun así, la afirmación de que usaron la API tiene mucho más sentido que el método que plantea 23andMe, y por eso resulta muy preocupante.
Claro que, si de verdad quisieran, podrían rastrearme a partir de parientes que usen la plataforma.
Dicen que “23andMe culpó a los clientes por reutilizar contraseñas”; no sé exactamente cómo lo expresaron, pero esto no es culpa de los clientes, sino una deficiencia de la empresa.
Los clientes reutilizan contraseñas y lo seguirán haciendo. Si se trata de información de identificación personal sensible, es mucho más fácil exigir autenticación de dos factores o Google SSO que intentar cambiar el comportamiento de los clientes.
Es un método con app de autenticación, más seguro que SMS, pero como añade más fricción para que el usuario lo habilite, eso pudo afectar su adopción.
Si se filtraron 300 TB de datos de clientes sin que 23andMe se diera cuenta, parece negligencia. ¿No debería haber habido alertas?
Aun así, 23andMe debería haber tenido detecciones o controles que marcaran una nueva ubicación geográfica en el almacenamiento de cada cliente, porque no es como si pudieran falsificar el destino de cada cliente.
O bien, al acceder a los datos con una cuenta de nivel administrador, debería haber habido un proceso de autorización con trazabilidad de auditoría y flujos de aprobación.
Es increíble que intenten encubrir una falla de seguridad de sus propios sistemas culpando a los clientes que les pagan.
No puedes controlar a los usuarios, pero sí puedes controlar tu postura de seguridad. La actitud y el criterio de la dirección de 23andMe son pésimos.
El producto de 23andMe es el ADN de los usuarios; simplemente viene bien empaquetado en una forma fácil de digerir.
Si no pudieron detectar que se robaron millones de registros mediante credential stuffing, eso tampoco es una mejor excusa para la empresa.
Supongo que me voy a morir antes de ver a una empresa hacerse responsable de sus actos, así que tampoco me sorprende.
23andMe salió cuando yo estaba en la preparatoria, y una profesora de ciencias dedicó una clase completa a explicar por qué nunca debíamos usar ese servicio.
Sinceramente, fue una de las clases más valiosas que he tomado, y gracias a eso nunca se me ocurrió acercarme a algo así.
Creo que la privacidad de datos debería incluirse en alguna materia obligatoria de salud en la escuela. Aunque probablemente el plan de estudios obligatorio terminaría arruinado por el lobby y no enseñaría nada realmente valioso.
¿Qué tiene de privado el ADN?
Publicaciones recientes relacionadas:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - octubre de 2023, 20 comentarios
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - octubre de 2023, 3 comentarios
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - octubre de 2023, 2 comentarios
“El tipo de información que recopilan las empresas de pruebas genéticas actualmente no está protegido por HIPAA, la ley estadounidense de protección de información de salud.”
Parece que los lobistas de la industria de pruebas genéticas hicieron bien su trabajo.
Pero los datos revelados al analizar el ADN, por ejemplo si alguien tiene una enfermedad genética, sí deberían ser información de salud protegida.
Es raro que, solo por procesar un cabello, algo pase de “no es información de salud protegida” a “ahora sí es información de salud protegida”.
“A partir de qué punto se convierte en información de salud protegida” probablemente sea una pregunta difícil de responder.
Personalmente, creo que la protección de datos relacionados con ADN necesita un marco separado, distinto de HIPAA.