23andMe confirme le vol de données utilisateur par credential stuffing
(bleepingcomputer.com)- Des données utilisateur du service de tests génétiques 23andMe ont circulé sur un forum de hackers, et l’entreprise attribue l’incident à du credential stuffing ciblant la réutilisation de mots de passe
- L’attaquant a accédé à des comptes 23andMe.com à l’aide d’identifiants exposés lors de compromissions d’autres plateformes en ligne ; l’entreprise indique qu’à ce stade, aucun signe ne montre une compromission de ses systèmes internes
- Les éléments exposés incluent des informations fortement identifiantes, comme le nom réel, le nom d’utilisateur, la photo de profil, le sexe, la date de naissance, les résultats d’ascendance génétique et la localisation géographique
- Le premier échantillon contenait 1 million de lignes de données de personnes ashkénazes, puis a été suivi, le 4 octobre, d’une proposition de vente en masse à un prix de 1 à 10 dollars par compte
- Les données de correspondance des comptes ayant activé la fonction DNA Relatives ont été aspirées, montrant qu’une fonctionnalité sociale optionnelle peut devenir un vecteur inattendu d’exposition de données personnelles
Des données 23andMe repérées sur un forum de hackers
- 23andMe dit avoir connaissance de la circulation de données utilisateur de sa plateforme sur un forum de hackers, et considère qu’il s’agit d’une fuite liée à une attaque par credential stuffing
- L’entreprise est une société américaine de biotechnologie et de génomique qui fournit des rapports sur l’ascendance et les prédispositions génétiques lorsque ses clients envoient un échantillon de salive à son laboratoire
- Un acteur malveillant a publié un échantillon de données qu’il affirmait avoir volées à l’entreprise de génétique, puis a proposé quelques jours plus tard la vente de lots de données de clients 23andMe
Credential stuffing et position de l’entreprise
- Un porte-parole de 23andMe a confirmé que les données publiées sur le forum étaient de véritables données 23andMe
- L’attaquant aurait utilisé des identifiants exposés lors d’autres incidents pour accéder à des comptes 23andMe et voler des données sensibles
- L’entreprise affirme ne voir actuellement aucun signe d’incident de sécurité des données au sein de ses propres systèmes
- Selon les premiers éléments de l’enquête, des identifiants réutilisés par des utilisateurs sur plusieurs plateformes en ligne auraient pu être divulgués lors d’autres incidents, puis collectés par l’attaquant
Périmètre des données divulguées et vendues
- Les données initialement publiées étaient limitées, mais l’acteur malveillant a diffusé 1 million de lignes de données concernant des personnes ashkénazes
- Le 4 octobre, il a proposé de vendre en masse des profils de données à un prix de 1 à 10 dollars par compte 23andMe, selon le volume acheté
- Les informations exposées incluent les éléments suivants :
- Nom complet
- Nom d’utilisateur
- Photo de profil
- Sexe
- Date de naissance
- Résultats d’ascendance génétique
- Localisation géographique
Propagation via la fonction DNA Relatives
- Le nombre de comptes mis en vente ne correspond pas nécessairement au nombre de comptes 23andMe compromis à l’aide d’identifiants exposés
- Les comptes compromis avaient activé la fonction DNA Relatives de 23andMe
- DNA Relatives permet aux utilisateurs de trouver des parents génétiques et d’entrer en contact avec eux
- L’attaquant a accédé à un petit nombre de comptes 23andMe, puis a scrapé les données de correspondance DNA Relatives associées à ces comptes
- Ce cas montre que la participation à certaines fonctionnalités peut entraîner une exposition de données personnelles inattendue
Mesures de protection pour les utilisateurs
- 23andMe propose une authentification à deux facteurs pour protéger les comptes, et recommande à tous les utilisateurs de l’activer
- Les instructions correspondantes sont disponibles sur Adding 2-Step Verification to Your 23andMe Account
- Les utilisateurs doivent éviter de réutiliser leurs mots de passe et employer des identifiants forts et différents pour chaque compte en ligne
1 commentaires
Avis sur Hacker News
Si je ne me trompe pas, quelqu’un avait déjà une base de données d’e-mails/mots de passe ayant fuité, l’a essayée sur 23andMe et, quand la connexion fonctionnait, a récupéré les données accessibles.
Il est vrai que 23andMe détient des données très vastes et personnelles, mais ce type d’attaque est littéralement possible contre n’importe quel site web.
Le point central, c’est que les gens ont réutilisé leurs mots de passe et n’avaient pas activé l’authentification à deux facteurs.
Donc la base de données en vente n’est qu’une liste d’e-mails/mots de passe issus d’autres fuites qui fonctionnaient aussi sur 23andMe, ainsi que les données 23andMe présentes dans ces comptes.
À proprement parler, il est difficile d’y voir une compromission de 23andMe elle-même.
Je ne comprends pas pourquoi ils autorisaient une connexion au compte depuis une nouvelle IP sans vérification supplémentaire.
Ils avaient l’adresse e-mail, donc ils auraient au minimum pu utiliser une authentification à deux facteurs par e-mail, et comme d’autres l’ont dit, un CAPTCHA aurait aussi pu rendre l’attaque plus lente et plus coûteuse.
Là où je travaille, nous utilisons les deux, donc cette attaque n’est pas « littéralement possible contre n’importe quel site web ».
Pour une entreprise mature, et même cotée en bourse, avoir permis du credential stuffing à l’échelle de millions de comptes est honteux.
Parmi ce à quoi les gens pouvaient accéder, le plus important était le profil ADN brut complet, et beaucoup de victimes ont été exposées non pas parce que leur propre compte était compromis, mais parce que des personnes ayant accepté la fonctionnalité « Relatives » les ont exposées.
« L’authentification à deux facteurs désactivée » devrait-elle pouvoir coexister avec des « données très vastes et personnelles » ?
Ce qui est décevant, c’est que cette attaque a très bien fonctionné à grande échelle.
Sur certains sites, ce genre d’attaque peut être exécuté à grande échelle, mais si l’on choisit les bons indicateurs à surveiller et que l’on met en place des alertes, c’est un type d’activité qui devient assez bruyant côté défenseur.
Ils ont dit : « À ce stade, nous n’avons aucune indication qu’un incident de sécurité des données se soit produit au sein de nos systèmes », mais si ces systèmes ont été utilisés pour extraire des données clients et qu’ils ne s’en sont rendu compte qu’après la mise en vente de ces données, c’est précisément par là qu’il faut commencer à s’améliorer.
Vu le délai de divulgation, il semble même possible qu’ils ne s’en soient aperçus qu’après des questions de la presse.
Il suffit de télécharger la base de données de mots de passe hachés de Troy Hunt, de la vérifier à la connexion et, si le mot de passe a fuité, de rediriger vers un flux de réinitialisation du mot de passe par e-mail.
Ou bien d’utiliser l’API.
C’est très simple, et je considère que c’est une bonne pratique acceptée depuis environ 2017.
C’est à 100 % la responsabilité de 23andMe.
https://haveibeenpwned.com/Passwords
Je me demande si les entreprises vont commencer à réexaminer sérieusement les « droits transitifs » ou les « droits réseau ».
Cela ressemble beaucoup à ce qui était arrivé à Facebook à l’époque.
J’avais le droit de voir toutes les données de mes amis et, auparavant, en un seul bouton, je pouvais permettre à quelqu’un qui le demandait de voir non seulement mes informations, mais aussi celles de mes amis.
Du point de vue de l’informatique, cela se tient : si je permets à quelqu’un de voir toutes mes données, je ne contrôle plus avec qui cette personne les partagera ensuite.
Mais du point de vue humain, la plupart des gens ne considèrent pas qu’en vous donnant accès, ils ont en réalité donné accès au monde entier.
Ces droits réseau font de l’entreprise qui détient ces données une cible majeure.
Car il suffit à l’attaquant de pirater quelques comptes pour obtenir exponentiellement plus de données.
C’est-à-dire le périmètre que l’auteur a configuré pour être visible par les amis de ses amis.
D’après ce tweet, il est possible que les hackers aient obtenu l’ensemble des données, mais n’en aient divulgué qu’une partie, à savoir 1,3 million d’enregistrements.
Cette partie correspondrait aux données de Juifs ashkénazes.
https://x.com/mattjay/status/1710370423311888724?s=20
Les Juifs ashkénazes ont été relativement isolés génétiquement par rapport au reste des populations européennes et descendent d’un groupe fondateur relativement restreint.
Par conséquent, selon les indicateurs standard, ils sont détectés comme des parents éloignés les uns des autres sur le plan génétique.
Autrement dit, un client ashkénaze typique de 23andMe verrait s’afficher beaucoup plus de parents que les autres clients, et aurait donc probablement accès à beaucoup plus de profils.
Il est donc très probable que ce ne soit pas l’ensemble des données ashkénazes.
Il n’y a pas non plus de preuve qu’il s’agissait de l’ensemble des données.
Je trouve l’idée intéressante, mais c’est précisément pour ce genre de raisons que j’ai toujours refusé ces tests génétiques.
Il s’avère qu’il n’y avait pas besoin que ce soit aussi compliqué : il suffisait que les gens l’envoient eux-mêmes par la poste ;)
Cela dit, on dirait que le mal est déjà fait.
https://www.pbs.org/newshour/amp/science/dna-ancestry-search...
Je ne pense pas que j’utiliserai ce genre de service à l’avenir non plus.
Je l’ai déjà dit plusieurs fois, mais tant qu’il n’y aura pas de responsabilité pénale pour les manquements dans la conservation et la protection des données, ce genre de choses continuera d’arriver.
Les entreprises s’en fichent, et quoi qu’elles disent dans leur com, elles s’en ficheront tant qu’elles ne seront pas elles-mêmes directement mises en danger.
À chaque fuite, elles répètent comme British Petroleum « nous sommes vraiment désolés » et offrent LifeLock aux gens.
C’est du grand n’importe quoi.
D’après l’article, ce n’est pas l’entreprise qui a été compromise : seuls des comptes individuels utilisant des identifiants réutilisés, exposés lors d’autres fuites, ont été piratés.
Il aurait fallu une authentification à deux facteurs, mais je ne pense pas qu’il faille criminaliser l’absence d’authentification à deux facteurs.
Je suis allé sur le site visible dans la capture d’écran, et quelqu’un y vendait ce qu’il présentait comme des documents de l’OTAN fuités lors d’une visite aux Philippines : « PLANCTON, CRONOS, CA SIRIUS, EMADS, MCDS, B1NT, etc. »
Il y avait aussi une autre liste de bases de données de citoyens ukrainiens de 2023.
CIA, s’il vous plaît, ne me tuez pas ! Je jure que je suis tombé dessus par hasard.
Bref, je dois retourner travailler.
75 000 dollars.
Voilà comment montrer que le gouvernement ne prend pas la vie privée au sérieux sans le dire.
Il y a trois semaines, la société de tests génétiques 1Health.io a accepté de payer 75 000 dollars d’amende à la FTC pour régler des accusations selon lesquelles elle n’avait pas correctement protégé des données génétiques et de santé sensibles, avait modifié rétroactivement sa politique de confidentialité sans en informer les clients dont elle avait obtenu les données ni obtenir leur consentement, et avait trompé les clients en leur faisant croire qu’ils pouvaient supprimer leurs données.
J’espère que l’entreprise s’effondrera complètement.
Il n’y a pas de recherches génétiques interdites en cours, les primes d’assurance n’augmentent pas, et cette information ne déclenche pas de nettoyage ethnique.
Il y aura bien quelques cas d’usurpation d’identité et de fraude bancaire, mais dans l’ensemble les systèmes existants peuvent les gérer.
Ça se fait attraper à l’autre bout.
Si vous voulez de grosses amendes, il faut démontrer un préjudice important.
Si l’on prenait vraiment la vie privée au sérieux, on leur accorderait 75 000 dollars de financement pour corriger le problème.
Si on retire 75 000 dollars du budget d’ingénierie, ils feront encore moins bien, et davantage de données fuiteront.
À propos des conséquences pour la vie privée quand on envoie son ADN à séquencer « pour le fun », 23andMe coopère déjà avec les forces de l’ordre.
La data science est désormais assez avancée pour permettre d’inférer mon identité même si je n’ai jamais fourni moi-même d’échantillon d’ADN, dès lors qu’un seul cousin au troisième degré a soumis un échantillon.
Une personne moyenne a environ 200 cousins au troisième degré.
Disons qu’un de mes 200 cousins au troisième degré a fait le test par écouvillon de 23andMe, puis que j’ai commis un crime, probablement à l’autre bout du pays.
Les forces de l’ordre ont recueilli des preuves ADN.
Que se passe-t-il ensuite ?
À ma connaissance, il existe des services de généalogie qui créent des graphiques de Leeds-Collins et qui fonctionnent en demandant aux utilisateurs leurs identifiants 23andMe.
C’est un peu comme certains services bancaires tiers qui demandent directement aux utilisateurs leurs identifiants bancaires.
Il y a vraiment beaucoup de mauvaises pratiques de sécurité dans ce domaine.
Je me demande si 23andMe pourrait m’envoyer le mot de passe du compte de mon père, perdu il y a quelques années et dont je n’ai même plus l’adresse e-mail.
S’il y figure, ils ont peut-être aussi le mot de passe.