23andMe基因檢測遭駭 數百萬個資失竊
基因檢測業巨頭23andMe最近傳出有數百萬用戶帳帳號姓名、照片、出生細節和種族等個資遭駭客竊走外洩。華爾街日報報導,此事件向世人明確揭示了一項與資料安全攸關的簡單事實:不要重複使用密碼。
23andMe在10月首次披露此事件,之後一直在調查。該公司發言人4日證實,駭客使用重複密碼,得以進入1萬4000個帳戶,大約有690萬人資料遭竊。23andMe的電腦網路沒有被破壞,也不是這些憑證洩漏的原由。
安全專家表示,被用來闖入這些帳戶的密碼,很可能是從其他網站竊取的。由於它們被重複使用,因此也適用於 23andMe的帳戶。這種攻擊類型被稱為「撞庫攻擊」(credential stuffing),它讓23andMe及其他大企業包括Netflix、任天堂、Zoom和PayPal在內,一樣成為這㮔網路犯罪趨勢的受害者。
網路安全顧問公司R10N Security負責人麥吉漢(Ryan McGeehan)表示,撞庫攻擊數千個帳戶的情況並非不常見,但像23andMe這樣數據出問題的情況實屬罕見;「主要的問題是23andMe既是社群網站,也有醫療保健訊息;這兩者增加了數據暴露風險以及數據本身的價值。」
史丹佛大學隱私與資料政策研究員金恩(Jennifer King)表示,DNA目前對駭客來說還沒有明確的市場價值;「但考慮到它的獨特性和不可替代性,若我們以為它毫無價值,就太蠢了。」
網路安全顧問公司Hold Security創辦人霍登(Alex Holden)表示,此類有關親屬和家庭關係的資訊,可能會被網路詐騙者利用,他們有時會冒充需要金錢的家庭成員。
駭客已創建各種自動化工具來測試從新網站上盜走的密碼。麥吉漢說:「我們不必完全擺脫密碼,但我們可以減少密碼暴露的數量。」23andMe正在提示所有用戶立即更改密碼,且確保它是獨特且複雜的。
留言