تعترف شركة 23andMe بأنها لم تكتشف الهجمات الإلكترونية لعدة أشهر
وفي خطاب إخطار بخرق البيانات تم تقديمه إلى المنظمين في نهاية هذا الأسبوع، كشفت شركة 23andMe أن المتسللين بدأوا في اقتحام حسابات العملاء في أبريل 2023 واستمروا خلال معظم شهر سبتمبر.
بمعنى آخر، لمدة خمسة أشهر تقريبًا، لم تكتشف 23andMe سلسلة من الهجمات الإلكترونية حيث كان المتسللون يحاولون – وغالبًا ما ينجحون – في الوصول إلى حسابات العملاء، وفقًا لملف مطلوب قانونًا أرسلته 23andMe إلى المدعي العام في كاليفورنيا.
وبعد أشهر من بدء المتسللين في استهداف عملاء 23andMe، كشفت الشركة أن المتسللين سرقوا بيانات النسب والبيانات الجينية لـ 6.9 مليون مستخدم، أو حوالي نصف عملائها.
وفقًا للشركة، أصبحت 23andMe على علم بالاختراق في أكتوبر عندما أعلن المتسللون عن البيانات المسروقة في منشورات منشورة على موقع 23andMe الفرعي غير الرسمي وبشكل منفصل في منتدى القرصنة سيئ السمعة. ولم تلاحظ شركة 23andMe أيضًا أن المتسللين أعلنوا عن البيانات المسروقة في منتدى قرصنة آخر قبل أشهر من شهر أغسطس، حسبما أفاد موقع TechCrunch.
اتصل بنا
هل لديك المزيد من المعلومات حول هذا الاختراق؟ نحن نحب أن نسمع منك. من جهاز غير خاص بالعمل، يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire @lorenzofb، أو عبر البريد الإلكتروني lorenzo@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
وكما اعترفت شركة 23andMe لاحقًا، تمكن المتسللون من الوصول إلى حسابات حوالي 14000 عميل من خلال اختراق الحسابات التي كانت تستخدم كلمات مرور تم الإعلان عنها بالفعل ومرتبطة بعناوين البريد الإلكتروني من انتهاكات أخرى. ومن خلال الوصول إلى تلك الحسابات، سرق المتسللون بيانات عن 6.9 مليون عميل عن طريق ميزة DNA Relatives، والتي تتيح للعملاء مشاركة بعض بياناتهم تلقائيًا مع الآخرين الذين تصنفهم شركة 23andMe على أنهم أقارب. وتضمنت البيانات المسروقة اسم الشخص وسنة ميلاده وتصنيفات علاقته ونسبة الحمض النووي المشترك مع الأقارب وتقارير النسب والموقع الذي أبلغ عنه ذاتيًا.
ولم يستجب المتحدثون باسم 23andMe على الفور لطلب TechCrunch للتعليق، والذي تضمن أسئلة حول كيفية عدم اكتشاف الانتهاك لفترة طويلة.
بعد أن تم إخطار العملاء بأنهم ضحايا الانتهاك، رفع العديد من الضحايا دعاوى قضائية جماعية ضد 23andMe في الولايات المتحدة وكندا، على الرغم من أن الشركة حاولت أن تجعل من الصعب على الضحايا التجمع معًا في الإجراءات القانونية عن طريق تغيير شروط الخدمة الخاصة بها. . ووصف محامو خرق البيانات تغييرات شروط الخدمة بأنها “ساخرة” و”خدمة ذاتية” و”محاولة يائسة” لحماية 23andMe من عملائها.
في إحدى الدعاوى القضائية، ردت شركة 23andMe بإلقاء اللوم على المستخدمين بزعم استخدام كلمات المرور المعاد استخدامها.
“لقد قام المستخدمون بإهمال بإعادة تدوير كلمات المرور الخاصة بهم وفشلوا في تحديثها بعد هذه الحوادث الأمنية السابقة، والتي لا علاقة لها بـ 23andMe،” زعمت 23andMe في رسالة موجهة إلى ضحايا الانتهاك. “لم يكن الحادث نتيجة لفشل 23andMe المزعوم في الحفاظ على إجراءات أمنية معقولة.”
