Dna-testbedrijf 23andMe geeft gebruikers schuld van groot datalek
Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf heeft wereldwijd gebruikers, ook in Nederland.
23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.
Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Nadat de aanvallers toegang tot de veertienduizend accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n veertien miljoen gebruikers. Er lopen inmiddels meer dan dertig rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen. In een reactie op het datalek besloot het dna-testbedrijf al de voorwaarden te wijzigen om zo eventuele rechtszaken te voorkomen.
Geen datalek
In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe, zo meldt TechCrunch dat de brief in handen kreeg.De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten. Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd. De poging van 23andMe om de verantwoordelijkheid af te schuiven door slachtoffer de schuld te geven helpt niet de miljoen gebruikers van wie de gegevens zonder hun toedoen zijn gelekt."
Dat zit nu eenmaal in het DNA van narcisten.
<Sarcasme /off>
Wat een drog redenering. Credential stuffing is al zo oud als het wachtwoord. Niet goed te praten maar een fact of life. Dus als je gevoelige data wilt beschermen moet je iets anders gebruiken zoals 2FA. Dat werkt beter dan je marketing afdeling achteraf anderen de schuld van je eigen falen geven.
Maar als 23andMe dat echt vindt dan hoeven ze niet voortaan 2FA te verplichten, wat ze wel doen (en wat soortgelijke diensten die hiervan geschrokken zijn ook opeens doen). Dat ze het wel verplichten suggereert op zijn minst dat ze er stiekem helemaal niet zo zeker van zijn dat ze zelf geen verantwoordelijkheid hebben.
With great power comes great responsibility, zoals nota bene in een Amerikaanse superheldenstrip (Spiderman) raak is geformuleerd. Als je in een positie bent om voor velen te bepalen hoe dingen gaan, inclusief welke risico's er zijn, dan heb je de verantwoordelijkheid om dat zo in te richten dat het goed gaat. Daarom hebben auto's vanuit de fabriek kreukelzones, gordels en airbags, en is het niet aan iedere koper voor zich om te zorgen dat dat goed komt. Daarom zijn elektrische apparaten goed geïsoleerd en heb je daar als koper niet zelf voor te zorgen.
Vanuit die positie en de bijbehorende verantwoordelijkheid had 23andMe allang 2FA moeten verplichten, en al helemaal wanneer mensen voor "DNA Relatives" kozen. Vanuit die verantwoordelijkheid had 23andMe vooraf over dit soort risico's moeten nadenken in plaats van pas te reageren als het gierend uit de hand loopt.
Een belangrijk verschil met auto's, elektrische apparaten en dergelijke is dat die er al veel langer zijn dan het internet en IT-diensten, zodat voor die fysieke dingen die verantwoordelijkheid allang wettelijk wordt afgedwongen terwijl de IT zich nog in de wildwest-fase bevindt. Dat we dit soort voorvallen volop langs zien komen laat zien dat het ook echt nodig is dat het nemen van die verantwoordelijkheid wordt afgedwongen, het is duidelijk veel te aantrekkelijk om dat maar over te slaan.
Dat zit nu eenmaal in het DNA van narcisten.
Maar om alleen maar de schuld bij het bedrijf te leggen (zoals sommigen hier doen), gaat nogal ver.
Dit is iets waar de wetgeving in de EU mijlen voor loopt op de VS.
Het staat in het artikel uitgelegd hoe het kan. Deze mensen hebben allen de optie aangezet om hun data met andere gebruikers te delen. Dus als het account van één gehackd is, kun je bij al die gebruikers die hun data willen delen.
Het probleem lijkt me dan ook niet het wachtwoord zelf. Want je kunt ook bij die data als je een legitiem account aan laat maken door een katvanger.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
Dat zit nu eenmaal in het DNA van narcisten.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
Dat zit nu eenmaal in het DNA van narcisten.
"De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan."
Heeft het bedrijf dan geen enkele verantwoordelijkheid omdat het haar eigen beveiliging, om geautomatiseerde aanvallen te voorkomen, niet op orde had?
Hoe kunnen ze anders die 14.000 gehackte accounts verklaren? Toeval?
Het is zeker geen SEP (Somebody Else's Problem), wat het bedrijf zelf ook roept.
Maar wel een gieode manier om je bedrijfm door incompetentie, de vernieling in te helpen.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
Die hebben al lang een achterdeurtje bij het bedrijf zelf.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
Wanneer je een dna match hebt gevonden, dan heb je een lijn in de familietak gevonden en ben je verdachten snel op het spoor. Ik onderschat het denkvermogen van de georganiseerde criminaliteit niet, maar ook die hebben veel loopvolk voor hun “klusjes” nodig.
Die domme mensen hebben familieleden waarvan de DNA veel overeenkomsten met elkander hebben. Hiermee geven die domme mensen dus niet alleen hun eigen dna af, maar ook zijn hiermee hun directe familieleden in-the-picture.
(Net als bij whatsapp, als jij niet w'appt , maar iemand anders wel , die ook jouw mobile nummer in diens contacten heeft staan, heeft whatspapp dus ook jouw mobiele nummer en daar rondomhangende meta-data.)
Als slimme jij (dus je zit niet in (deze) dna-dB) nu een misdrijf hebt gepleegd en je hebt per ongeluk je dna achtergelaten, kunnen opsporingsdiensten heel dichtbij komen als je domme neefje z'n dna wel heeft laten opnemen in deze dna-dB. Je domme neefje zal ook vast wel een adres/locatie hebben achtergelaten bij de dna-profilers en nu hoeven ze alleen nog maar de familie Jannssen in Utrecht onder de loep te nemen om slimme jou in te sluiten.
23andMe had kunnen voorkomen dat WW hergebruikt zouden worden en had moeten forceren dat het WW vervangen zou moeten worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
