サイバー犯罪者は、バイオテクノロジー企業 23andMe から盗んだプロフィールデータの第 2 弾をアップロードし、2 週間前に最初の弾をホストしたのと同じサイバー犯罪フォーラムに投稿したと主張している。
「ゴーレム」という別名を使用する人物は、主に英国のユーザーの記録410万件を追加アップロードしており、これもまた宗教的な動機によるものと思われる。
10月初旬に最初に流出した情報には、DNAにアシュケナージ系ユダヤ人の遺伝子マーカーを含む100万人分の記録が含まれていました。これは、この民族集団を標的にしたものとみられます。ちなみに、アシュケナージ系ユダヤ人の遺伝子データはパレスチナ人のものと非常に類似しています。BreachForumsへの投稿で、Golemは反ユダヤ主義的な声明を発表し、新たなデータにはさらに多くのアシュケナージ系ユダヤ人のDNAサンプルが含まれていると述べ、遺伝子的に見て、どういうわけか全員が裕福でシオニストである人々のDNAサンプルであると主張しました。
ドイツのユーザーも今回の漏洩の影響を受けていると考えられるが、サイバー犯罪者は今回の漏洩にはドイツ出身のユーザーの3分の1しか含まれていないと主張している。
ゴレム氏はさらに、ドイツのオロフ・ショルツ首相が「シオニズムに奉仕している」と非難し、攻撃は宗教的な動機によるものだという主張を裏付けた。
彼らはまた、「王室、ロスチャイルド家、ロックフェラー家などを含む何百もの家族からのサンプルである」という未確認の主張も行いました。
23andMeはThe Regに対し、「今回の調査に関与した脅威アクターが、顧客のDNA親族プロフィール情報であると主張する追加情報を投稿したことを認識しています。現在、データが正当なものかどうかを判断すべく精査中です。調査は継続中で、お客様のデータが許可なくアクセスされたことが判明した場合は、詳細情報を直接お知らせいたします」と述べた。
最初の侵入
ゴーレム氏は10月2日、アシュケナージ系ユダヤ人の特徴を含む23andMeのプロフィール記録100万件の宝庫と宣伝されているものへのリンクをBreachForumsに投稿した。
彼らは、ユーザーが希望するレコード数に応じてダウンロード料金を設定し、データには生のプロフィール情報、写真、民族グループ、その他のデータポイントが含まれていると宣伝していました。料金体系は以下のとおりです。
- 1000プロファイルで1,000ドル
- 1,000プロファイルで5,000ドル
- 1万件のプロファイルを2万ドルで
- 10万ドルで10万件のプロフィール
23andMeは10月6日に初めてセキュリティインシデントを認識したことを認め、当時は事件の調査を継続中であると述べていた。
同社は、データ漏洩はサイバー犯罪者によるセキュリティ上の脆弱性の悪用によるものではないとの見解を速やかに表明した。証拠は、23andMeのインシデント発生以前の他の侵害で漏洩したユーザーの認証情報を再利用した、クレデンシャルスタッフィング攻撃を示唆していた。
同社の初期調査では、漏洩の影響を受けたアカウントはすべてDNA親族機能に登録していたと結論づけられた。
DNA Relatives は同社のサービスの主なセールスポイントで、DNA の一部を共有するユーザーを他のユーザーとペアにすることができ、23andMe はペアになったユーザーと最も関係が深い関係を予測してくれます。
同社は10月9日に最新情報を発表し、影響を受けたと思われる顧客にはさらなる情報を直接連絡していると伝えた。
侵害の被害者である記者は、最初の漏洩から約2週間後の10月14日まで、データが影響を受けたことを確認するメールを受け取っていませんでした。
メールによると、一部のユーザーではDNA親族プロフィールの情報のみが漏洩したとのことです。アカウントに直接アクセスされたユーザーもいれば、アカウントが侵害されたDNA親族に情報が共有されたために情報が盗まれたユーザーもいました。
これは、23andMe によれば、アシュケナージ系ユダヤ人と他のヨーロッパ系の背景を持つ人々は通常、プラットフォーム上で多くの一致があるという事実を考慮すると、侵害の規模をある程度説明するかもしれない。
アカウント自体はクレデンシャル スタッフィング攻撃によって侵害されていなかったとしても、DNA Relatives にオプトインし、その DNA Relatives プロファイル属性がアクセスされたアカウントと共有されていたため、侵害された 1 つの 23andMe アカウントを通じて広範囲の個人のデータにアクセスできることになります。
DNA 相対プロファイルに含まれるデータには、最終ログイン日、関係ラベル (男性、女性、中立)、予測される関係 (例: いとこ) と一致したユーザーと共有される DNA の割合、DNA 相対表示名が含まれます。
表示名は、名と姓全体を表示する最も透明なものから、名と姓の頭文字のみを表示する最も透明度の低いものまで設定できます。
たとえば、ゴーレムは、23andMe CEO のアン・ウォジスキ氏の DNA 親戚プロフィールであるとするリンクを投稿したが、そのアカウントの表示名は「A W」だけだった。
ユーザーはオプションで、場所、先祖の出生地と姓、プロフィール写真、生年などの追加データを共有できます。
集団訴訟の中心
おそらく意外ではないが、この事件は23andMeに対する集団訴訟の急増を引き起こし、その中には同社の本社があるカリフォルニア州での5件も含まれている。
サンタナ対23andMeの訴訟では、原告側は同社が「被害者の個人情報を保護するために必要な、適切かつ合理的なサイバーセキュリティの手順とプロトコル」を実施しなかったと主張している。
- DNAあああはは:双子の23andMe、Ancestryなどの遺伝子検査は大きく異なるが、誰も驚かない
- DNAを気にするエッグヘッドが、文字通り生まれつき好きになるビールを醸造
- 遺伝子の悪影響?米国の監視機関が23andMeの家庭用DNA検査キットの販売を中止
- グーグルのブリン氏と妻がウィキペディアに50万ドルを寄付
彼らはまた、他の多くの問題の中でも、23andMe が不正侵入に対してデータ システムを適切に保護せず、侵入を早期に発見するためにネットワークを監視しなかったことでユーザーの権利を無視したと主張しました。
Andrizzi vs 23andMe、Lamons vs 23andMe、JS vs 23andMe での主張も、性質が非常に似ていました。
Eden対23andMeの訴訟では、過失、プライバシー侵害、契約違反、黙示契約違反などについて訴訟が起こされました。®
