1 puntos por GN⁺ 2023-10-19 | 1 comentarios | Compartir por WhatsApp
  • A dos semanas de que se conociera por primera vez la filtración de datos de usuarios de 23andMe, el mismo hacker publicó en BreachForums un nuevo conjunto de datos de 4 millones de personas
  • El hacker, llamado Golem, afirmó que el nuevo conjunto de datos incluye usuarios de Great Britain y también información de “las personas más ricas que viven en Estados Unidos y Europa Occidental”
  • TechCrunch confirmó que parte de los nuevos datos filtrados coincide con usuarios e información genética de 23andMe ya publicados
  • Tras enterarse de la nueva filtración, 23andMe está revisando la autenticidad de los datos, y anteriormente había indicado a los usuarios cambiar sus contraseñas y activar la autenticación multifactor
  • El método real de intrusión, el alcance total de la filtración y el propósito de uso de los datos robados aún no han sido confirmados, por lo que persisten riesgos adicionales para los usuarios de 23andMe

Datos adicionales publicados en BreachForums

  • Un hacker llamado Golem publicó en el foro de ciberdelincuencia BreachForums un nuevo conjunto de datos con 4 millones de registros de usuarios de 23andMe
  • Es el mismo individuo que dos semanas antes filtró un paquete de datos de usuarios robados a la empresa de pruebas genéticas 23andMe
  • TechCrunch confirmó que parte de los datos recién filtrados coincide con usuarios e información genética de 23andMe ya publicados
  • Golem afirmó que el conjunto de datos incluye información de personas de Great Britain
    • También afirmó que la lista incluye datos de “las personas más ricas que viven en Estados Unidos y Europa Occidental”
  • El vocero de 23andMe, Andy Kill, dijo que la empresa está al tanto de la nueva filtración y que está revisando si los datos son realmente de 23andMe

La explicación del incidente por parte de 23andMe y medidas de seguridad de cuentas

  • El 6 de octubre, 23andMe anunció que un hacker había obtenido algunos datos de usuarios, y explicó que el hacker usó credential stuffing
    • El credential stuffing es una técnica que prueba combinaciones de nombres de usuario o correos electrónicos y contraseñas ya expuestas en otras filtraciones de datos
  • Como respuesta al incidente, 23andMe exigió a los usuarios cambiar sus contraseñas y recomendó activar la autenticación multifactor
  • Según la página oficial de respuesta al incidente, 23andMe inició una investigación con ayuda de “expertos forenses externos”
  • La empresa señaló como causa del incidente la reutilización de contraseñas por parte de clientes y la función opcional DNA Relatives
    • DNA Relatives es una función que permite ver datos de otros usuarios participantes opcionales cuyos datos genéticos coinciden
    • Si esta función está activada, un hacker puede entrar en una cuenta y hacer scraping de datos de varios usuarios

Preguntas aún sin resolver

  • No está claro si el hacker realmente usó credential stuffing o si empleó otra técnica
  • La cantidad total de datos de usuarios robados aún se desconoce
  • Tampoco se ha confirmado cómo pretende usar los datos el hacker
  • Es posible que este incidente se haya llevado a cabo, o al menos haya comenzado, varios meses antes
    • El 11 de agosto, en otro foro de ciberdelincuencia llamado Hydra, un hacker anunció un conjunto de datos de usuarios de 23andMe
    • Según el análisis de TechCrunch, ese conjunto de datos coincide con parte de los registros de usuarios filtrados dos semanas antes
    • El hacker de Hydra afirmó tener 300 TB de datos de usuarios de 23andMe, pero no aportó pruebas
  • Hasta ahora, el alcance total de la filtración de datos no está claro, y 23andMe aparentemente todavía no ha determinado cuántos datos fueron sustraídos

1 comentarios

 
GN⁺ 2023-10-19
Opiniones de Hacker News
  • Que 23andMe culpe a la reutilización de contraseñas por parte de sus clientes y a DNA Relatives, una función opcional que permite ver datos de otros participantes con coincidencias genéticas, es una forma de desviar la atención del problema central.
    Las opciones para compartir en DNA Relatives no son lo bastante granulares y, básicamente, solo tienen un par de niveles, lo cual no alcanza.
    Además, 23andMe limita la visibilidad a los 1,500 contactos más cercanos entre quienes participan en DNA Relatives, pero con esa estructura, si un hacker tomaba el control de apenas unos miles de cuentas, habría podido recopilar de la mayor parte de la base de datos haplogrupos, predicciones de origen étnico, nombres, perfiles, listas de familiares e información de origen geográfico.
    Ese límite de 1,500 personas ayuda en teoría, pero durante un tiempo reciente también se podían ver perfiles fuera de ese rango, y no está claro si eso formó parte del método de abuso.

    • La página de “DNA Relatives” de 23andMe dice esto: “Si decides participar en la función DNA Relatives, tienes varias opciones de privacidad adaptadas a tus preferencias personales. Para una privacidad completa, puedes darte de baja por completo de DNA Relatives”.
      Si para obtener privacidad completa hay que darse de baja, no entiendo cómo esto puede ser una función de participación opcional.
      Tampoco queda claro qué significa aquí privacidad completa ni en qué se diferencia de la privacidad que uno podría esperar razonablemente.
      Me parece que la afirmación de la empresa de que esta función es opcional no tiene sentido.
    • Es una empresa realmente pésima. La responsabilidad de proteger los datos almacenados no recae en el usuario, sino totalmente en la empresa.
      Si un usuario reutilizó una contraseña, eso puede explicar que se comprometiera una cuenta individual, pero una empresa podría haber mitigado fácilmente que el daño escalara.
    • No entiendo por qué más empresas no implementan límites de solicitudes razonables y detección de abusos.
      No debería ser posible extraer datos de millones de personas solo con un conjunto de cuentas hackeadas.
    • El punto 2 se parece mucho a la forma en que Cambridge Analytica extrajo en masa datos de Facebook.
      Me pregunto si la CEO de 23andMe también terminará siendo arrastrada al Congreso durante los próximos 10 años.
    • Al final, no es más que una red social basada en ADN.
  • Usar 23andMe es uno de los mayores arrepentimientos de mi vida. Lo hice cuando estaba en oferta en Amazon, antes de preocuparme por la privacidad.
    Aunque pida la eliminación, no tengo ninguna confianza en que realmente borren mis datos, e incluso si los borran, no sé si esos datos ya están vivos dentro de algún modelo o investigación.
    Hay una parte de mí que ni siquiera quiere saber si mis datos estuvieron incluidos en esta filtración. Esto se siente distinto a una filtración de tarjetas de crédito o datos de compras.
    Lo peor es que llevaba mucho tiempo sin entrar a 23andMe y probablemente fue antes de que me preocupara en serio por la seguridad de contraseñas, así que no me sorprendería.

    • Quizá no sea tan importante. Los modelos de coincidencia genética son tan primitivos que esos datos no tienen tanto valor.
      Facebook y Google tienen una imagen mucho más precisa que pueden usar para manipular a la gente, y 23andMe no es más que una curiosidad.
      Mis datos probablemente también estén en esta filtración, pero no voy a gastar ni un segundo de mi vida lamentándolo.
      Mejor esperar a ver si se puede recibir algo en una demanda colectiva. Si llega por correo un cheque ridículamente pequeño como con el hackeo de Experian, al menos tendré algo que poner sobre la mesa de centro.
    • Yo también tenía curiosidad y usé uno de los servicios principales, que probablemente ya fue hackeado para estas alturas.
      Eso sí, me registré con un seudónimo, le di el kit de prueba a mi padre e hice que una tía también se hiciera la prueba.
      No fue exacto, pero bastó para satisfacer la curiosidad.
      Al final, todo será hackeado algún día. Como dijo un hacker famoso, hay que asumir que todo lo que se diga o se escriba algún día se volverá información pública.
      Y por si acaso, algunos dirán “¿cómo pudiste hacerle eso a tu padre?”, pero si lo conocieran, lo entenderían. Vive casi desconectado de la red y pronto va a morir; mi tía ya falleció.
    • Si con “que esos datos estén vivos dentro de algún modelo o investigación” te refieres a cosas como desarrollo de nuevos medicamentos o investigación médica, no entiendo por qué eso sería algo malo.
    • Según entiendo, en este caso aunque uno no haya cometido ningún error, basta con ser familiar de alguien que sí lo cometió para quedar prácticamente incluido.
    • ¿Quieres decir que no solicitaste la eliminación? Si la solicitaste, es muy probable que el hacker no tenga los datos.
  • Soy una de las personas afectadas por la filtración. Soy una persona con conocimientos técnicos, entiendo bastante de seguridad y uso contraseñas únicas y seguras en todos lados.
    Esta empresa y su maldita forma de evadir responsabilidades me dan asco.
    Esto no es más que doxxing corporativo. Va a seguir pasando hasta que ejecutivos individuales de las grandes empresas que le escupen en la cara a sus usuarios asuman responsabilidad personal por estas cosas.
    Hasta entonces, no tienen ninguna obligación real de preocuparse. No somos más que materia prima para una máquina de hacer dinero.
    Lo que más me enfurece no es la filtración en sí, sino la falta de responsabilidad.
    Me sorprende el tono de culpar a las víctimas en los comentarios.

    • Parece que 23andMe quiere hacernos creer que decenas de miles de cuentas de clientes fueron hackeadas mediante un ataque de credential stuffing.
      Incluso suponiendo que cada persona tenga 1,500 coincidencias y que no haya parientes repetidos, para llegar al volumen de datos filtrados, unos 14 millones de personas, se necesitarían aproximadamente 10,000 cuentas hackeadas con éxito.
      En realidad hay muchas personas con parientes superpuestos, así que tendrían que haber atacado muchísimas más cuentas que 10,000, y durante todo ese tiempo 23andMe no tendría que haber notado nada sospechoso. Eso suena muy poco verosímil.
      23andMe afirma que la causa raíz de esta filtración fue el credential stuffing, pero los hackers que publicaron esto por primera vez en Hydra Market hace dos meses dijeron que simplemente usaron o abusaron de la API que 23andMe ofrecía a socios académicos y de investigación.
      Los hackers afirmaron tener 300 TB, incluidos datos en bruto, aunque todavía no han presentado pruebas de que el alcance del ataque fuera tan grande. Pero si esa afirmación es cierta, esta brecha encaja mucho mejor con el supuesto uso de la API que con credential stuffing.
      Por lo tanto, si la escala indicada por los atacantes es correcta, es mucho más probable que hayan extraído todos los datos mediante una de las API de 23andMe que mediante credential stuffing. Es posible que uno de los investigadores asociados haya sido hackeado, o que existiera —o incluso exista todavía— una vulnerabilidad de control de acceso en la API que permitiera a los atacantes volver a extraer todos los datos.
      No hay mucha información sobre las API que ofrece 23andMe, pero encontré una en RapidAPI (https://rapidapi.com/23andme/api/23andme); si hubo una vulnerabilidad de control de acceso o un hackeo de usuario con escalamiento de privilegios, podrían haber tomado a una sola persona como punto de partida, descargar datos desde varios endpoints y, mediante el endpoint de parientes, recorrer recursivamente a todos los familiares y descargar a cada uno una vez. Incluso hay un endpoint para el genoma completo de una persona.
      Por ahora desconfío mucho de la línea de defensa de 23andMe, pero hasta que los atacantes publiquen pruebas de que tienen datos en bruto será difícil demostrar que la empresa está equivocada o miente sobre el alcance real del ataque. Aun así, la afirmación de que usaron la API tiene mucho más sentido que el método que plantea 23andMe, y por eso resulta muy preocupante.
    • Es raro que seamos tan permisivos con que los creadores de OnlyFans envíen videos y audio de su propio fenotipo, mientras que no se considere obsceno que 23andMe capture a las personas a nivel de código fuente.
    • Si subiste tus datos de ADN a internet, es momento de repasar los fundamentos de seguridad.
    • No entiendo por qué alguien con conocimientos técnicos participaría en semejante honeypot. Me gustaría saber en qué creyó y qué decidió confiar.
    • ¿Usaste un nombre falso y una tarjeta de débito prepaga al comprarlo? Yo me alegro de haberlo hecho así.
      Claro que, si de verdad quisieran, podrían rastrearme a partir de parientes que usen la plataforma.
  • Dicen que “23andMe culpó a los clientes por reutilizar contraseñas”; no sé exactamente cómo lo expresaron, pero esto no es culpa de los clientes, sino una deficiencia de la empresa.
    Los clientes reutilizan contraseñas y lo seguirán haciendo. Si se trata de información de identificación personal sensible, es mucho más fácil exigir autenticación de dos factores o Google SSO que intentar cambiar el comportamiento de los clientes.

    • No me creo ni por un segundo que en una plataforma hayan robado millones de cuentas mediante credential stuffing por contraseñas reutilizadas.
    • De acuerdo. Podrían haber usado verificación por enlace de correo electrónico, sin obligar al usuario a configurar autenticación de dos factores.
    • Sí tienen autenticación de dos factores, pero es muy probable que haya millones de cuentas creadas antes de que existiera esa función y que nunca volvieron a iniciar sesión para configurarla.
      Es un método con app de autenticación, más seguro que SMS, pero como añade más fricción para que el usuario lo habilite, eso pudo afectar su adopción.
    • Es un fracaso por no haber impuesto autenticación multifactor.
  • Si se filtraron 300 TB de datos de clientes sin que 23andMe se diera cuenta, parece negligencia. ¿No debería haber habido alertas?

    • “Bob, ¿por qué la factura de AWS está tan alta este mes...? Ah, mierda”.
    • Si no fue credential stuffing, podrían haber extraído unos cuantos GB por día por cada IP para evitar la detección de anomalías por volumen.
      Aun así, 23andMe debería haber tenido detecciones o controles que marcaran una nueva ubicación geográfica en el almacenamiento de cada cliente, porque no es como si pudieran falsificar el destino de cada cliente.
      O bien, al acceder a los datos con una cuenta de nivel administrador, debería haber habido un proceso de autorización con trazabilidad de auditoría y flujos de aprobación.
  • Es increíble que intenten encubrir una falla de seguridad de sus propios sistemas culpando a los clientes que les pagan.
    No puedes controlar a los usuarios, pero sí puedes controlar tu postura de seguridad. La actitud y el criterio de la dirección de 23andMe son pésimos.

    • La actitud que se desprende de esta respuesta no parece ser “sentimos que se hayan filtrado sus datos”, sino más bien “qué lástima que ya no podamos ganar dinero con esos datos”.
      El producto de 23andMe es el ADN de los usuarios; simplemente viene bien empaquetado en una forma fácil de digerir.
  • Si no pudieron detectar que se robaron millones de registros mediante credential stuffing, eso tampoco es una mejor excusa para la empresa.
    Supongo que me voy a morir antes de ver a una empresa hacerse responsable de sus actos, así que tampoco me sorprende.

  • 23andMe salió cuando yo estaba en la preparatoria, y una profesora de ciencias dedicó una clase completa a explicar por qué nunca debíamos usar ese servicio.
    Sinceramente, fue una de las clases más valiosas que he tomado, y gracias a eso nunca se me ocurrió acercarme a algo así.
    Creo que la privacidad de datos debería incluirse en alguna materia obligatoria de salud en la escuela. Aunque probablemente el plan de estudios obligatorio terminaría arruinado por el lobby y no enseñaría nada realmente valioso.

    • No entiendo por qué esa clase fue tan valiosa. Tampoco entiendo por qué usar 23andMe sería el mayor arrepentimiento de la vida de alguien.
      ¿Qué tiene de privado el ADN?
  • Publicaciones recientes relacionadas:
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - octubre de 2023, 20 comentarios
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - octubre de 2023, 3 comentarios
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - octubre de 2023, 2 comentarios

  • “El tipo de información que recopilan las empresas de pruebas genéticas actualmente no está protegido por HIPAA, la ley estadounidense de protección de información de salud.”
    Parece que los lobistas de la industria de pruebas genéticas hicieron bien su trabajo.

    • Si el ADN físico fuera información de salud protegida, todos los lugares donde dejamos ADN tendrían que tener la misma seguridad que un consultorio médico.
      Pero los datos revelados al analizar el ADN, por ejemplo si alguien tiene una enfermedad genética, sí deberían ser información de salud protegida.
      Es raro que, solo por procesar un cabello, algo pase de “no es información de salud protegida” a “ahora sí es información de salud protegida”.
      “A partir de qué punto se convierte en información de salud protegida” probablemente sea una pregunta difícil de responder.
      Personalmente, creo que la protección de datos relacionados con ADN necesita un marco separado, distinto de HIPAA.
    • ¿Hay fundamentos para eso? ¿Realmente se revisó alguna vez, o simplemente te lo inventaste?