1 points par GN⁺ 2023-10-19 | 1 commentaires | Partager sur WhatsApp
  • Deux semaines après les premières révélations sur la fuite de données d’utilisateurs de 23andMe, le même hacker a publié sur BreachForums un nouveau jeu de données portant sur 4 millions de personnes
  • Un hacker nommé Golem affirme que ce nouveau jeu de données comprend des utilisateurs originaires de Grande-Bretagne, ainsi que des informations sur « les personnes les plus riches vivant aux États-Unis et en Europe occidentale »
  • TechCrunch a confirmé qu’une partie des nouvelles données divulguées correspond à des informations d’utilisateurs et données génétiques de 23andMe déjà rendues publiques
  • Après avoir pris connaissance de cette nouvelle fuite, 23andMe examine l’authenticité des données et avait auparavant demandé aux utilisateurs de changer leur mot de passe et d’activer l’authentification multifacteur
  • La méthode d’intrusion réelle, l’ampleur totale de la fuite et l’objectif de l’utilisation des données volées n’ont pas encore été confirmés, ce qui laisse subsister des risques supplémentaires pour les utilisateurs de 23andMe

Données supplémentaires publiées sur BreachForums

  • Un hacker nommé Golem a publié sur le forum de cybercriminalité BreachForums un nouveau jeu de données contenant 4 millions d’informations d’utilisateurs de 23andMe
  • Ce hacker est le même que celui qui, deux semaines plus tôt, avait déjà divulgué un lot de données d’utilisateurs volées à la société de tests génétiques 23andMe
  • TechCrunch a confirmé qu’une partie des données nouvellement divulguées correspond à des informations d’utilisateurs et données génétiques de 23andMe déjà rendues publiques
  • Golem affirme que le jeu de données inclut des informations sur des personnes originaires de Grande-Bretagne
    • Il affirme également que la liste contient des données sur « les personnes les plus riches vivant aux États-Unis et en Europe occidentale »
  • Le porte-parole de 23andMe, Andy Kill, a indiqué que l’entreprise avait connaissance de cette nouvelle fuite et vérifiait si les données étaient bien authentiques et provenaient de 23andMe

Explication de l’incident par 23andMe et mesures de sécurité des comptes

  • Le 23andMe a annoncé le 6 octobre qu’un hacker avait obtenu certaines données d’utilisateurs, en expliquant qu’il avait eu recours au credential stuffing
    • Le credential stuffing consiste à tester des combinaisons de nom d’utilisateur ou d’e-mail et de mot de passe déjà exposées lors d’autres fuites de données
  • En réponse à l’incident, 23andMe a demandé aux utilisateurs de changer leur mot de passe et a recommandé d’activer l’authentification multifacteur
  • Selon sa page officielle de réponse à l’incident, 23andMe a lancé une enquête avec l’aide d’« experts forensiques tiers »
  • L’entreprise attribue l’incident à la réutilisation de mots de passe par les clients et à la fonctionnalité optionnelle DNA Relatives
    • DNA Relatives permet de voir les données d’autres utilisateurs ayant choisi d’y participer et présentant des correspondances génétiques
    • Si cette fonctionnalité est activée, un hacker qui compromet un compte peut scraper les données de nombreux utilisateurs

Questions encore sans réponse

  • On ne sait pas clairement si le hacker a réellement utilisé le credential stuffing ou une autre technique
  • Le volume total de données d’utilisateurs volées reste inconnu
  • On ignore également comment le hacker compte utiliser ces données
  • Il est possible que cet incident ait eu lieu il y a plusieurs mois, ou qu’il ait au moins commencé à ce moment-là
    • Le 11 août, sur un autre forum de cybercriminalité appelé Hydra, un hacker a mis en vente un ensemble de données d’utilisateurs de 23andMe
    • Selon l’analyse de TechCrunch, cet ensemble correspond en partie aux enregistrements d’utilisateurs divulgués il y a deux semaines
    • Le hacker sur Hydra affirmait détenir 300 To de données d’utilisateurs de 23andMe, sans en apporter la preuve
  • À ce stade, l’ampleur totale de la fuite reste floue, et 23andMe semble ne pas encore savoir exactement combien de données ont été exfiltrées

1 commentaires

 
GN⁺ 2023-10-19
Avis sur Hacker News
  • Le fait que 23andMe rejette la faute sur la réutilisation des mots de passe par ses clients et sur DNA Relatives, une fonctionnalité opt-in qui permet de voir les données d’autres participants présentant une correspondance génétique, détourne l’attention du vrai problème.
    Les options de partage de DNA Relatives manquent de granularité et, en gros, ne proposent que deux niveaux, ce qui est insuffisant.
    De plus, 23andMe limite l’affichage aux 1 500 personnes les plus proches parmi celles qui participent à DNA Relatives ; avec une telle architecture, il aurait suffi à un pirate de prendre le contrôle de quelques milliers de comptes pour collecter, sur la majeure partie de la base de données, les haplogroupes, les prédictions d’origine ethnique, les noms, les profils, les listes de proches et les informations d’origine géographique.
    Cette limite de 1 500 personnes aide en théorie, mais ces derniers temps il était possible de voir aussi des profils au-delà de cette limite, et on ne sait pas si cela faisait partie de la méthode d’exploitation.

    • La page « DNA Relatives » de 23andMe indique ceci : « Si vous choisissez de participer à la fonctionnalité DNA Relatives, plusieurs options de confidentialité adaptées à vos préférences personnelles sont disponibles. Pour une confidentialité totale, vous pouvez vous retirer complètement de DNA Relatives. »
      Si, pour obtenir une confidentialité totale, il faut se retirer, je ne vois pas en quoi il s’agit d’une fonctionnalité opt-in.
      On ne sait pas non plus clairement ce que signifie ici une confidentialité totale, ni en quoi elle diffère de la confidentialité que l’on peut raisonnablement attendre.
      À mon avis, l’affirmation de l’entreprise selon laquelle cette fonctionnalité repose sur une participation volontaire n’a aucun sens.
    • C’est vraiment une entreprise lamentable. La responsabilité de protéger les données stockées ne revient pas aux utilisateurs, mais entièrement à l’entreprise.
      Si un utilisateur a réutilisé un mot de passe, cela peut expliquer la compromission d’un compte individuel, mais une entreprise aurait facilement pu limiter l’ampleur des dégâts.
    • Je ne comprends pas pourquoi davantage d’entreprises ne mettent pas en place une limitation raisonnable des requêtes et une détection des abus.
      Il ne devrait pas être possible d’aspirer les données de millions de personnes avec seulement un lot de comptes piratés.
    • Le point 2 ressemble beaucoup à la manière dont Cambridge Analytica a exfiltré massivement les données de Facebook.
      Je me demande si le CEO de 23andMe va lui aussi passer les dix prochaines années à être traîné devant le Congrès.
    • Au final, ce n’est rien d’autre qu’un réseau social fondé sur l’ADN.
  • Avoir utilisé 23andMe est l’un des plus grands regrets de ma vie. Je l’ai fait avant de me soucier de ma vie privée, parce qu’il y avait une promotion sur Amazon.
    Même si je demande la suppression, je n’ai absolument aucune confiance dans le fait qu’ils effaceront réellement mes données ; et même s’ils le font, je ne sais pas si ces données ne continuent pas déjà d’exister quelque part dans un modèle ou une recherche.
    Une partie de moi ne veut même pas savoir si mes données figurent dans cette fuite. Ce n’est pas la même chose qu’une fuite de données de carte bancaire ou d’achats.
    Le pire, c’est que je ne m’étais pas connecté à 23andMe depuis longtemps, et que c’était probablement avant que je me préoccupe vraiment d’une bonne sécurité des mots de passe, donc cela ne me surprendrait pas.

    • Ce n’est peut-être pas si important. Les modèles de correspondance génétique sont tellement rudimentaires que ces données n’ont pas énormément de valeur.
      Facebook et Google disposent d’un portrait beaucoup plus précis qu’ils peuvent utiliser pour manipuler les gens, et 23andMe n’est guère plus qu’une curiosité.
      Mes données figurent probablement aussi dans cette fuite, mais je ne vais pas consacrer une seule seconde de ma vie à le regretter.
      Il n’y a plus qu’à attendre de voir si quelque chose tombera d’un recours collectif. Comme lors du piratage d’Experian, si je reçois par la poste un chèque ridiculement faible, j’aurai au moins un objet à poser sur la table basse.
    • Moi aussi, par curiosité, j’ai utilisé l’un des principaux services, qui a lui aussi de fortes chances d’avoir été piraté à ce stade.
      Cela dit, je me suis inscrit sous un pseudonyme, j’ai donné le kit de test à mon père, et j’ai aussi fait tester une tante.
      Ce n’était pas exact, mais suffisant pour satisfaire ma curiosité.
      Au bout du compte, tout finit par être piraté un jour. Comme l’a dit un hacker célèbre, il faut partir du principe que tout ce qui est dit ou écrit deviendra un jour une information publique.
      Et pour ceux qui diraient « comment avez-vous pu faire ça à votre père ? », ils comprendraient s’ils le connaissaient. Il vit presque hors réseau et doit bientôt mourir, et ma tante est déjà décédée.
    • Si par « ces données continuent d’exister dans un modèle ou une recherche », vous parlez de développement de nouveaux médicaments ou de recherche médicale, je ne vois pas pourquoi ce serait une mauvaise chose.
    • Si je comprends bien, dans cette affaire, même sans avoir commis d’erreur soi-même, il suffit d’être apparenté à quelqu’un qui en a commis une pour être quasiment inclus.
    • Vous voulez dire que vous n’avez pas demandé la suppression ? Si vous l’aviez fait, il y a de fortes chances que les pirates n’aient pas vos données.
  • Je suis l’une des victimes de la fuite. Je suis plutôt à l’aise avec la technique, je connais bien la sécurité, et j’utilise partout des mots de passe uniques et sûrs.
    Cette entreprise et son foutu rejet de responsabilité me dégoûtent vraiment.
    Ce n’est ni plus ni moins que du doxxing d’entreprise. Ça continuera à se reproduire tant que les dirigeants individuels de ces grandes entreprises qui crachent au visage des utilisateurs ne seront pas tenus personnellement responsables.
    Jusque-là, ils n’ont aucune obligation de s’en soucier réellement. Nous ne sommes que la matière première qui alimente une machine à gagner de l’argent.
    Plus que la fuite elle-même, c’est l’absence de responsabilité qui me met en colère.
    L’ambiance dans les commentaires, où l’on blâme les victimes, est choquante.

    • 23andMe semble vouloir faire croire que des dizaines de milliers de comptes clients ont été piratés par une attaque de credential stuffing.
      Même en supposant 1 500 correspondances par personne et aucune parenté en commun, il faudrait environ 10 000 comptes piratés avec succès pour atteindre l’ampleur des données divulguées, soit environ 14 millions de personnes.
      En réalité, beaucoup de gens ont des proches en commun, donc il aurait fallu compromettre bien plus que 10 000 comptes, sans que 23andMe ne remarque quoi que ce soit de suspect pendant tout ce temps. C’est très peu crédible.
      23andMe affirme que la cause profonde de cette fuite est le credential stuffing, mais les hackers qui ont publié les premières données sur Hydra Market il y a deux mois affirmaient avoir simplement utilisé, ou abusé, de l’API que 23andMe avait fournie à des partenaires universitaires et de recherche.
      Les hackers ont affirmé posséder 300 To, y compris des données brutes, mais ils n’ont pas encore fourni de preuves que l’attaque ait eu une telle ampleur. Si cette affirmation est vraie, toutefois, cette compromission correspond bien davantage à l’utilisation alléguée de l’API qu’à du credential stuffing.
      Donc si l’ampleur annoncée par l’attaquant est exacte, il est bien plus probable que l’ensemble des données ait été aspiré via l’une des API de 23andMe plutôt que par credential stuffing. L’un des chercheurs partenaires a pu être piraté, ou il a pu exister — voire exister encore — une faille de contrôle d’accès dans l’API permettant à l’attaquant de réaspirer toutes les données.
      Il n’y a pas beaucoup d’informations sur l’API fournie par 23andMe, mais j’en ai trouvé une sur RapidAPI (https://rapidapi.com/23andme/api/23andme) ; s’il y a eu une faille de contrôle d’accès ou un piratage d’utilisateur avec élévation de privilèges, il aurait été possible de partir d’une seule personne, de télécharger des données via plusieurs endpoints, puis de suivre récursivement tous les proches via l’endpoint des proches et de télécharger les données de chacun une fois. Il existe même un endpoint pour le génome complet d’une personne.
      Pour l’instant, je suis très sceptique quant à la ligne de défense de 23andMe, mais tant que l’attaquant ne publie pas de preuve qu’il possède les données brutes, il est difficile de prouver que l’entreprise se trompe ou ment sur l’ampleur réelle de l’attaque. Cela dit, l’affirmation selon laquelle une API a été utilisée est beaucoup plus plausible que le scénario présenté par 23andMe, et c’est donc très inquiétant.
    • C’est étrange qu’on soit aussi tolérant envers les créateurs OnlyFans qui envoient des vidéos et des enregistrements vocaux de leur phénotype, tandis que le fait que 23andMe saisisse les gens au niveau du code source ne soit pas jugé obscène.
    • Si vous avez mis vos données ADN sur Internet, il est temps de revoir les bases de la sécurité.
    • Je ne comprends pas pourquoi quelqu’un qui a des connaissances techniques participerait à un tel pot de miel. J’aimerais savoir en quoi cette personne avait confiance.
    • As-tu utilisé un faux nom et une carte de débit prépayée au moment de l’achat ? Moi, je suis content d’avoir fait ça.
      Bien sûr, s’ils le voulaient vraiment, ils pourraient me retrouver à partir de proches qui utilisent la plateforme.
  • « 23andMe a accusé les clients de réutiliser leurs mots de passe » : quelle que soit la formulation exacte, ce n’est pas un problème des clients, mais une insuffisance de l’entreprise.
    Les clients réutilisent leurs mots de passe et continueront à le faire. Quand il s’agit d’informations personnelles identifiables sensibles, il est beaucoup plus simple d’imposer l’authentification à deux facteurs ou le SSO Google que d’essayer de changer le comportement des clients.

    • Je n’y crois pas une seconde, qu’une seule plateforme ait vu des millions de comptes compromis par credential stuffing à cause de mots de passe réutilisés.
    • D’accord. Ils auraient pu utiliser une vérification par lien e-mail qui ne nécessite pas que l’utilisateur configure l’authentification à deux facteurs.
    • L’authentification à deux facteurs existe bien, mais il y a probablement des millions de comptes créés avant l’apparition de cette fonction et dont les utilisateurs ne se sont jamais reconnectés pour l’activer.
      C’est une méthode via application d’authentification, plus sûre que les SMS, mais plus contraignante pour obtenir l’adhésion des utilisateurs, ce qui a pu affecter le taux d’adoption.
    • C’est un échec à ne pas avoir imposé l’authentification multifacteur.
  • Si 300 To de données clients ont été exfiltrés sans que 23andMe s’en aperçoive, cela ressemble à de la négligence. Il aurait dû y avoir des alertes, non ?

    • « Bob, pourquoi la facture AWS est-elle aussi élevée ce mois-ci… oh merde »
    • Si ce n’était pas du credential stuffing, ils ont pu extraire quelques Go par jour et par IP pour éviter la détection d’anomalies de volume.
      Mais même ainsi, 23andMe aurait dû avoir une détection ou des contrôles signalant de nouvelles localisations géographiques pour le stockage de chaque client. Il est peu probable qu’ils aient usurpé la destination de chaque client.
      Ou bien, même pour l’accès aux données via un compte de niveau administrateur, il aurait dû y avoir une procédure d’autorisation avec piste d’audit et circuit d’approbation.
  • C’est incroyable de blâmer les clients payants pour masquer l’échec de la sécurité de ses propres systèmes.
    On ne peut pas contrôler les utilisateurs, mais on peut contrôler sa posture de sécurité. L’attitude et le jugement de la direction de 23andMe sont lamentables.

    • L’attitude qui transparaît dans ce genre de réaction n’est pas « nous sommes désolés que vos données aient fuité », mais plutôt « dommage, nous ne pouvons plus gagner d’argent avec ces données ».
      Le produit de 23andMe, c’est l’ADN des utilisateurs, simplement emballé joliment sous une forme facile à digérer.
  • Si l’entreprise n’a pas détecté que des millions de dossiers étaient volés par credential stuffing, ce n’est pas non plus une meilleure excuse.
    Je ne suis même pas surpris : je mourrai sans doute avant de voir une entreprise assumer la responsabilité de ses actes.

  • 23andMe est apparu quand j’étais au lycée, et l’un de mes professeurs de sciences a consacré une heure entière de cours à expliquer pourquoi il ne fallait absolument pas utiliser ce service.
    Honnêtement, c’est l’un des cours les plus utiles que j’aie jamais suivis, et grâce à ça je n’ai jamais envisagé de m’en approcher.
    Je me dis que la confidentialité des données devrait être intégrée à une matière obligatoire à l’école, comme l’éducation à la santé. Cela dit, le programme officiel serait probablement dégradé par le lobbying et finirait par ne rien enseigner de réellement utile.

    • Je ne vois pas pourquoi ce cours serait si utile. Ni pourquoi d’autres considéreraient l’utilisation de 23andMe comme le plus grand regret de leur vie.
      Qu’est-ce qui est privé dans l’ADN ?
  • Articles récents liés :
    23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - octobre 2023, 20 commentaires
    Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - octobre 2023, 3 commentaires
    23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - octobre 2023, 2 commentaires

  • « Les types d’informations collectées par les sociétés de tests génétiques ne sont actuellement pas protégés par la HIPAA, la loi américaine sur la protection des informations de santé. »
    On dirait que les lobbyistes de l’industrie des tests génétiques ont bien fait leur travail.

    • Si l’ADN physique est une information de santé protégée, alors tous les endroits où nous laissons de l’ADN devraient avoir le même niveau de sécurité qu’un cabinet médical.
      Mais les données révélées par l’analyse de l’ADN, par exemple la présence ou non de maladies génétiques, devraient être des informations de santé protégées.
      Il est étrange que, simplement parce qu’un cheveu a été traité, on puisse passer de « ce n’est pas une information de santé protégée » à « c’en est désormais une ».
      « À partir de quel moment cela devient-il une information de santé protégée ? » serait probablement une question difficile à trancher.
      À titre personnel, je pense que la protection des données liées à l’ADN nécessite un cadre distinct de la HIPAA.
    • Sur quoi cela se fonde-t-il ? Cela a-t-il vraiment été examiné, ou est-ce simplement inventé ?