Únik dat obsahujících genetické údaje a informace o předcích – 23andMe data breach 

23and3e

Společnost 23andMe je americká korporace obchodovaná na burze. Její byznys se zaměřuje na osobní genomiku a biotechnologie. Nejznámějším produktem společnosti je poskytování genetických testů koncovým zákazníkům, kterým je na základě výsledků poskytnuta zpráva ohledně jejich původu a genetických predispozic zaměřená zejména na zdraví. Výsledky jsou přístupné prostřednictvím profilu jednotlivých uživatelů na stránkách společnosti. A dle dostupných informací jsou právě toto informace, které se dostaly na veřejnost. Na hackerských fórech byl zveřejněn soubor obsahující osobní údaje o více než 7 milionech uživatelů služby 23andMe. To má být více než polovina celkového počtu zákazníků společnosti.  

O zákaznících byla zveřejněna velmi důvěrná osobní data – fotografie, informace o jejich zdraví, datum narození, geolokační údaje a fenotyp uživatelů. Pod fenotypem si můžete představit širokou škálu informací – fyzický vzhled (barva očí či vlasů, fyzické charakteristiky těla), chování jedince (temperament), zdravotní stav (včetně náchylnost k nemocem a různým predispozicím) inteligenci či osobnost. Autenticita údajů byla společností potvrzena. 

Společnost 23andMe však popírá, že by k úniku těchto informací došlo v důsledku bezpečnostního incidentu v jejich systémech. Shromáždění osobních dat o uživatelích vysvětluje tím, že útočník využil přihlašovací údaje uživatelů, které unikly z jiných stránek, aplikací či systémů. Útočník informace následně sesbíral pomocí funkce „DNA relatives“. Ta slouží k propojení osob se společnými předky a vystopování vzdálených částí rodiny. Tato funkce není zapnuto automaticky – k jejímu užívání se musí uživatelé sami přihlásit. Podle tvrzení společnost tedy byla využita technika „scraping“ tedy shromažďování dat, ke kterým je možné se dostat bez zneužívání chyb systémů, krádeže osobních údajů apod. Z tvrzení společnosti tak vyplývá, že došlo k vytěžení dat, která o sobě zákazníci sami zveřejnili prostřednictvím funkce „DNA relatives“. Vzhledem k rozsahu publikovaných údajů je zřejmé, že data byla shromážděna z více účtů. Útočník pak výše zmíněná data nabízel k prodeji – jejich cena se lišila podle množství profilů, které by si zájemce koupil. Cena se pohybovala od 1 do 10 USD za jeden profil. 

V souvislosti s únikem dat společnost po svých uživatelích vyžaduje změnu hesel a vyzývá je k zavedení vícefaktorové autentizace. Otázka, která všemu výše uvedenému ovšem předchází – a v souvislosti s únikem se na internetu objevuje často – je, zda výhody poskytnuté služby vůbec převažují nad tím, že takto osobní údaje jsou umístěny na internetu.   

Další články

V době, kdy kyberhrozby stále více ohrožují finanční sektor, přichází DORA – regulace, která má změnit způsob, jakým finanční instituce řídí především digitální rizika.  Nařízení o digitální provozní odolnosti (Digital Operational...
Bezpečnější digitální produkty díky novému nařízení EU Cyber Resilience Act. Kybernetická bezpečnost se stává stále naléhavějším tématem nejen v pracovním prostředí, ale i v domácnostech. V reakci na tyto hrozby...
Umělá inteligence (AI) – perfektní nástroj, nebo dvousečná zbraň?  Stejně jako každý moderní obor, i oblast kybernetické bezpečnosti musí nevyhnutelně „jít s dobou“ – a jedním z největších trendů posledních měsíců je...

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

EMAIL