De aanvallers die door middel van credential stuffing toegang wisten te krijgen tot accounts van duizenden gebruikers van dna-testbedrijf 23andMe hebben een "aanzienlijk aantal" bestanden met de afstammingsgegevens van gebruikers gestolen. In totaal wisten de aanvallers via de aanval toegang tot de accounts van veertienduizend klanten te krijgen.
Nadat de aanvallers toegang tot een 23andMe-account hadden gekregen maakten ze, als het account zich hiervoor had aangemeld, gebruik van de 'DNA Relatives' service om ook data over andere gebruikers in de database te stelen. Via deze service kunnen gebruikers verwanten vinden die hun dna ook via 23andMe hebben laten testen. Van hoeveel andere gebruikers deze gegevens zijn gestolen is onbekend.
In een melding bij de Amerikaanse beurswaakhond SEC maakt 23andMe melding dat een 'aanzienlijk aantal bestanden' met profielgegevens met de afstammingsgegevens van andere gebruikers die zich voor de service hadden aangemeld zijn gestolen. Het dna-testbedrijf laat verder weten dat de aanvallers via de credential stuffing-aanval toegang tot 0,1 procent van de accounts kregen. Met veertien miljoen gebruikers wereldwijd komt dat neer op veertienduizend accounts. Zoals gezegd zijn niet alleen deze gebruikers getroffen, maar ook mensen die zich voor de 'DNA Relatives' service hadden aangemeld.
Bij credential stuffing proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Gisterenavond maakte 23andMe bekend dat het van alle bestaande gebruikers het wachtwoord heeft gerest en nu ook tweestapsverificatie verplicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.