Multiple falle di dati a 23andMe

Numerosi casi di perdita di dati presso 23andMe

Dall’inizio di agosto fino a ottobre, l’azienda di test genetici 23andMe e i suoi utenti sono stati oggetto di post sul dark web riguardanti milioni di profili utente e registri di dati genetici che cybercriminali hanno divulgato o violato. Gli attori minacciosi hanno pubblicizzato diverse raccolte di registri di dati dalle violazioni da vendere.

Secondo BleepingComputer, e basato sulle informazioni fornite da 23andMe, l’attore minaccioso ha acceduto ad alcuni account utente dell’azienda attraverso il credential stuffing e poi ha raccolto i dati delle corrispondenze genetiche dei loro parenti. Secondo 23andMe, la funzione DNA Relatives consente ai partecipanti di connettersi con parenti genetici. Identifica parenti e antenati comuni recenti attraverso confronti di DNA tra partecipanti; quindi gli utenti possono scaricare i propri dati.

Secondo il blog di 23andMe, l’azienda ritiene che i criminali abbiano iniettato credenziali riutilizzate da altre violazioni per accedere agli account degli utenti. Secondo lo stesso post, 23andMe non ha alcuna indicazione di un incidente di sicurezza dei dati nei propri sistemi, né che sia stata la fonte delle credenziali dell’account utilizzate in questi attacchi.

In un post del blog DarkOwl dell’11 agosto, un utente con lo pseudonimo Dazhbog ha dichiarato sul mercato del dark web Hydra di avere 10 milioni di registrazioni DNA di 23andMe in vendita. L’autore del post ha affermato di avere più di 300 TB di dati, che sarebbe venduto per 50 milioni di dollari. DarkOwl è un fornitore di intelligence sul darknet. Secondo il blog di DarkOwl, Dazhbog ha affermato che il furto dei dati degli utenti di 23andMe è avvenuto tramite un servizio API utilizzato da aziende farmaceutiche. In un nuovo post dell’14 agosto, Dazhbog ha dichiarato di aver venduto tutti i dati a un individuo iraniano. Dazhbog non ha fatto altri post.

• Forza Horizon’ corre su GeForce NOW
• Le paure di essere ingannati dai chatbot erano esagerate, suggerisce una nuova ricerca
• IA per caschi da bicicletta più sicuri, migliori suole per scarpe

C’è una contraddizione apparente tra i rapporti di TechCrunch e DarkOwl che affermano che Hydra Market era attivo a agosto e il rapporto di BBC News secondo cui le forze dell’ordine hanno chiuso Hydra Market a aprile. Tuttavia, secondo la storia della BBC, le forze dell’ordine temevano che ciò non avrebbe messo fine al gruppo di cybercriminali Hydra; a meno che non potessero trovarli e arrestarli, probabilmente avrebbero cercato di costruire una nuova piattaforma.

Secondo l’articolo di TechCrunch e in base alla sua analisi, il dataset dall’articolo di Hydra dell’11 agosto corrispondeva a alcuni record utente trapelati nella prima settimana di ottobre.

Il 2 ottobre, un attore minaccioso che usa l’alias Addka72424 ha pubblicato un link verso un database sul mercato dark web di BreachForums, secondo l’articolo di BleepingComputer. Il database presumibilmente conteneva un milione di profili utente di persone di origine Ashkenazi dalla società di test genetici 23andMe. Addka72424 ha detto che il link proveniva da un post precedente dell’utente Golem.

Secondo un post di RecordedFuture, l’utente Golem ha pubblicato il 3 ottobre un database di 7 milioni di file utente di 23andMe sul sito BreachForums. I link del database pubblicato contenevano 300.000 record di persone di etnia cinese e un altro milione di origine Ashkenazi.

Secondo l’articolo di BleepingComputer, in un post datato 4 ottobre, l’utente Golem di BreachForums ha dichiarato di avere dati che includono “aggregazioni etniche personalizzate, set di dati individualizzati, stime d’origine individuate, dettagli haplogruppo, informazioni fenotipiche, fotografie, link a centinaia di parenti potenziali e, cosa più importante, profili di dati grezzi.” Un portavoce di 23andMe ha confermato la validità dei dati, secondo l’articolo di BleepingComputer.

Gli attori minacciosi che scaricano o acquistano i dati rubati potrebbero prendere di mira gruppi etnici con frodi basate sull’odio, phishing, truffe, furto di identità o peggio, secondo l’esperto di dark web Luke Rodeheffer, un professionista certificato in sicurezza dei sistemi informatici (CISSP) e fondatore e CEO di AlphaCentauri Cyber, un’azienda di intelligence sulle minacce informatiche e investigazioni sul dark web.

Secondo TechCrunch, l’attore minaccioso Golem ha pubblicato ulteriori 4,1 milioni di profili dati il 17 ottobre. Secondo BleepingComputer, il nuovo post di BreachForums conteneva record che includono persone in Gran Bretagna e Germania. Secondo il DailyMail, l’attore minaccioso ha preso di mira Regno Unito e Germania per il supporto a Israele.

Il 2 novembre, in risposta a una richiesta di commento, il direttore delle comunicazioni di 23andMe, Andy Kill, ha ripetuto le dichiarazioni dal post di divulgazione della società sul suo blog.

Nello stesso blog di 23andMe riguardo ai dati trapelati, l’azienda ha affermato che gli utenti dovrebbero utilizzare l’autenticazione a due fattori e non riutilizzare password da altri siti. La società di test genetici continua ad affermare di non essere stata oggetto di una violazione dei dati e che non vi è stato alcun problema interno di sistema o di sicurezza.

Secondo l’avvocato Alessandra Messing, una consumatrice di 23andMe colpita dalla violazione, 23andMe non ha assunto il livello di responsabilità che dovrebbe, dato il carattere sensibile delle informazioni che raccoglie e analizza.

“È un po’ fuori dal coro far accadere questa violazione e poi spostare la responsabilità sui consumatori senza assumersi la responsabilità o un minimo di accountability,” ha detto Messing.

In una lettera datata 20 ottobre e disponibile su Senato.gov, il senatore Bill Cassidy (LA-R), membro di spicco del Comitato per la Salute, l’Istruzione, il Lavoro e le Pensions del Senato e medico, ha interrogato la CEO di 23andMe Anne Wojcicki in merito alla violazione, chiedendole di rispondere entro il 3 novembre.

Le domande del senatore hanno fatto riferimento alla fuga di dati di 1,3 milioni di clienti di origine ashkenazi e cinese, confermando che 23andMe non aveva fornito una data o dettagli su quando hacker criminali per primi hanno sfruttato una vulnerabilità nei suoi sistemi. Il senatore ha sottolineato che la fuga è avvenuta in un momento in cui c’è un crescente antisemitismo globale e odio anti-asiatico, e i criminali possono ottenere prezzi più alti per le informazioni e aumentare la minaccia da potenziali malintenzionati. Cassidy ha seguìto con 11 domande su come 23andMe protegge le informazioni degli utenti e come sia stato possibile violarla.

Ci sono almeno 16 cause giudiziarie collettive proposte negli Stati Uniti contro 23andMe come conseguenza della violazione, secondo HealthcareInfoSecurity. Nella causa collettiva Tulchinsky v. 23andMe, inc., gli avvocati dello studio Reese LLP affermano che la denuncia è stata presentata contro 23andMe per non aver garantito la sicurezza delle informazioni personali identificabili ( PII ) del querelante e dei membri della classe conservata nella rete informativa del convenuto (network informativo).

“La società di test genetici 23andMe ha l’obbligo legale di salvaguardare i dati in base a HIPAA, il CCPA, il GDPR e altre normative. Ha l’obbligo legale di divulgare agli investitori gli incidenti e i rischi che potrebbero influire sulla validità dei loro investimenti,” ha detto Paul Valente, CEO e co-fondatore di VISO TRUST, un’azienda di gestione dei rischi informatici di terze parti basata sull’IA.

“Gli attacchi su larga scala alle password, come lo stuffing e lo spraying, non sono una novità; sono diventati comuni da quasi un decennio. Per qualsiasi team di sicurezza qualificato, tali attacchi non sono né imprevisti né indetectabili,” ha detto Valente. “Sebbene sia facile attribuire la compromissione di alcune password al riutilizzo e successiva violazione, esporre milioni di account allo stuffing delle password sarebbe un chiaro segnale di negligenza potenziale.”

Secondo Adhiran Thirmal, ingegnere delle soluzioni senior presso Security Compass, una società di progettazione sicura del software, alla fine, se una società è responsabile per l’utilizzo di misure interne di sicurezza informatica che proteggono i dati indipendentemente dal riutilizzo delle password da parte dei consumatori, è una questione che i tribunali devono decidere caso per caso.

Nessuno ha confermato se le credenziali che i criminali informatici hanno inserito in 23andMe provenissero da violazioni in altre organizzazioni.

In merito alla causa collettiva, secondo il fascicolo via https://dockets.justia.com/docket/california/candce/5:2023cv05369/419693, il caso è stato depositato il 19 ottobre 2023 presso il Tribunale distrettuale degli Stati Uniti per il Distretto Settentrionale della California. La giudice competente è Susan van Keulen. Il 20 ottobre, il tribunale ha emesso un citazione a 23andMe, Inc.

Una dichiarazione di gestione del caso è dovuta entro il 16 gennaio 2024 e una conferenza iniziale di gestione del caso è fissata per il 23 gennaio.

David Geer è un giornalista che si occupa di questioni legate alla sicurezza informatica. Scrive da Cleveland, OH, USA.