Genetik test uzmanı 23andMe kötü niyetli mi? İçinde posta Aralık ortasından kalma ve yakın zamanda tanıtılan TechCrunchŞirket, bu sonbaharda kendisini etkileyen veri sızıntısının ardından sorumluluklarını en aza indirmeye çalışıyor. İkincisi, müşterilerinin yarısının profil bilgilerinin karaborsada satılmasıyla sonuçlandı.
23andMe için bu veri sızıntısı aslında kullanıcılarının eski şifreleri yeniden kullanma konusundaki ihmalinden kaynaklanıyor olabilir. Amerikan basınına göre şu anda otuz civarında yasal işlemle karşı karşıya olan şirket, “Sonuç olarak olay, 23andMe’nin makul BT güvenliğini garanti edememe iddiasından kaynaklanmıyor” diye özetliyor.
Kimlik bilgisi doldurma
Bilgisayar korsanları, kimlik bilgisi doldurma saldırısı yoluyla 14.000 kullanıcı hesabına hileli erişim sağlamayı başardı. Bu yöntem, halihazırda diğer platformlara sızdırılmış olan kullanıcı adı ve şifre kombinasyonlarının test edilmesini içerir. Bu saldırı, bilgisayar korsanlarının kullanıcılar arasındaki bilgi paylaşımı işlevlerini kullanarak platform kullanıcılarının yarısına ilişkin bilgilere erişmesine olanak tanıdı.
DNA analizi sunan bu hizmetin genetik verileri etkilenmediği takdirde hackerlar, kullanıcı adına, doğum yılına, akrabalarıyla paylaşılan DNA yüzdesine, profildeki fotoğraflara ve bazı kurbanlara (1,4) ulaşabildi. milyon), aile ağaçları, bazen doğum yılı ve konum verileriyle birlikte.
Klasik saldırı
Bu temizleme girişiminin veri sızıntısı mağdurlarının avukatlarının hoşuna gitmediği açık. TechCrunch’tan alıntı yapan Hassan Zavareei, “23andMe, birçok tüketicinin geri dönüştürülmüş şifreler kullandığını biliyordu veya bilmesi gerekirdi” diyor. Sitede saklanan hassas bilgiler göz önüne alındığında, şirketin kimlik bilgisi doldurmaya karşı da önlem alması gerektiğini sözlerine ekledi.
Bu tür bir saldırı gerçekten de bir klasiktir. Beklenmedik eşzamanlı oturum açma denemelerinin tespit edilmesinden, fark edilmesine ve tüm şifrelerin zorla sıfırlanmasına kadar, bunları durdurmanın yolları iyi bilinmektedir.
Saldırının ardından nihayet 23andMe tarafından uygulamaya konulan çift kimlik doğrulamanın etkinleştirilmesi, siber suçluların elinden kurtulmaya da yardımcı oluyor. Şirket nihayet kullanıcılarını güçlü bir şifre seçmeye zorlayabilirdi. Onları daha az dikkatli hizmetlerde kullanılanlardan farklı bir şifre oluşturmaya veya oluşturmaya zorlamanın bir yolu.