总部位于美国加利福尼亚州南旧金山的23andMe是一间提供基因检测和祖源分析服务的公司,用户通过唾液样本提交DNA信息,就能让客户了解自己的祖源、健康风险,甚至还能找到失散多年的亲戚,所以一经推出就凭借着便捷的基因检测服务迅速蹿红,成为基因检测行业的领头羊。但在2023年,该公司遭到黑客成功入侵,窃取了近700万用户的个人信息,给23andMe带来了巨大的信任危机。用户们纷纷质疑其数据安全保护能力,要求删除个人数据,甚至提起了集体诉讼,最终该公司在2025年3月宣布寻求破产保护。
6月17日,加拿大和英国的隐私监管部门针对该公司的数据泄露联合调查的报告发布,称黑客的攻击不是通过直接入侵23andMe的系统,而是利用了常见的“撞库攻击”(credential stuffing attack),既黑客从其他网站先前发生的数据泄露事件中窃取了大量的用户登录信息,包括用户名或电子邮件地址以及密码,再利用这些被窃的凭证,自动化地尝试登录23andMe的网站,直到找到匹配的账户。而黑客之所以能够成功,就是因为23andMe在安全防护方面存在多项不足,包括:用户无需输入除密码以外的额外信息即可登录;对用户密码的强度要求不够;缺乏有效的机制来检查用户是否使用了在其他网站上已被泄露的信息;攻击发生后,23andMe的检测系统未能及时识别出黑客正在大量未经授权地访问用户账户等等。
黑客最初获得了18,000多个客户账户的直接访问权限,但雪上加霜的是23andMe有一项“DNA亲属”(DNA Relatives)功能,可以允许用户选择与基因相关的亲属共享信息。如果账户启用了此功能,黑客不仅能访问入侵账户本身的数据,还能访问与该账户遗传关联的数千名其他用户的高度敏感个人信息,这导致最终有近700万用户的个人信息受到影响。
泄露的数据包括高度敏感的信息,如健康信息、种族和民族信息,以及关于亲属、出生日期、出生性别和自报性别等详细信息,其中大部分信息来源于用户的DNA。其中,加拿大约有近32万名客户受到影响,英国有155,600名客户受到影响。
加拿大隐私专员Philippe Dufresne表示,这次数据泄露事件是一个警示,再一次强调了在网络威胁日益增长的时代,数据保护的重要性。另外,23andMe未能采取基本措施保护用户信息,并且在事件发生后,没有按照加拿大和英国的法律要求充分通知监管机构和受影响的客户。