导读 23andMe证实,最近的一次违规行为泄露了690万用户的数据。公司发言人AndyKill在发给TheVerge的一份电子邮件声明中表示,此次泄露影响了大约...

23andMe证实,最近的一次违规行为泄露了690万用户的数据。公司发言人AndyKill在发给TheVerge的一份电子邮件声明中表示,此次泄露影响了大约550万启用了DNA亲属功能的用户,该功能可以将具有相似基因构成的用户进行匹配,同时还有140万人的家谱资料被访问。

23andMe在向美国证券交易委员会(SEC)提交的文件以及12月1日更新的博客文章中表示,威胁行为者使用撞库攻击——使用在其他安全漏洞中获得的帐户信息进行登录,通常是由于密码重复使用—直接访问的用户帐户占0.1%,约14,000个用户。通过访问这些帐户,攻击者使用DNA亲属功能(该功能将人们与可能具有共同血统的其他成员进行匹配)来访问数百万其他个人资料中的附加信息。

“我们仍然没有任何迹象表明我们的系统内发生了数据安全事件”

其周五的声明指出,黑客还通过亲属功能访问了“大量文件”,但没有包括上述数字。

Kill告诉TheVerge,“我们仍然没有任何迹象表明我们的系统内存在数据安全事件,或者23andMe是这些攻击中使用的帐户凭据的来源。”这一说法与690万用户的信息现已掌握在攻击者手中的事实相矛盾。其中绝大多数人都受到了影响,因为他们选择了23andMe提供的一项功能,该功能未能通过限制对信息的访问或要求额外的帐户安全来防止泄露。

麻烦的第一个公开迹象出现在10月份,当时23andMe确认用户信息在暗网上出售。该基因检测网站后来表示,它正在调查一名黑客的指控,该黑客声称他们泄露了英国人和“居住在美国和西欧的最富有的人”的400万份基因档案。

泄露的550万份DNA亲属资料中包括未参与最初撞库攻击的用户。披露的数据包括显示名称、与他人的预测关系、用户与匹配者共享的DNA数量、血统报告、自我报告的位置、祖先出生地点、姓氏、个人资料图片等。

其余140万也参与DNA亲属功能的用户的家谱资料也被访问。此功能同样包括显示名称、关系标签、出生年份和自我报告的位置。它不包括与现场潜在亲属共享的DNA百分比或匹配的DNA片段。

23andMe表示,它仍在通知受此次泄露影响的用户。它还开始警告用户重置密码,现在要求对新用户和现有用户进行两步验证,而这在以前是可选的。