image

Dna-testbedrijf 23andMe geeft gebruikers schuld van groot datalek

donderdag 4 januari 2024, 09:29 door Redactie, 21 reacties

Dna-testbedrijf 23andMe heeft gebruikers de schuld gegeven van het grote datalek waarbij de gegevens van 6,9 miljoen mensen werden gestolen. Via 23andMe kunnen gebruikers hun dna laten testen om te zien waar hun voorouders vandaan komen en in contact te komen met andere familieleden op het platform. Daarnaast kan er ook worden getest op gezondheidsgerelateerde zaken. Het bedrijf heeft wereldwijd gebruikers, ook in Nederland.

23andMe biedt gebruikers de feature 'DNA Relatives', waarmee het mogelijk is om andere familieleden op het platform te vinden en meer over de eigen afstamming te weten te komen. Het gaat hier om een optionele feature. Veel gebruikers hebben deze feature echter ingeschakeld, omdat ze juist verwanten via 23andMe willen vinden.

Vorig jaar wisten aanvallers via een credential stuffing-aanval op de accounts van veertienduizend gebruikers in te breken. Bij credential stuffing-aanvallen proberen aanvallers of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.

Nadat de aanvallers toegang tot de veertienduizend accounts hadden gekregen wisten ze vervolgens de afstammingsgegevens van 6,9 miljoen gebruikers te stelen, die gebruik hadden gemaakt van de DNA Relatives-feature. 23andMe telt zo'n veertien miljoen gebruikers. Er lopen inmiddels meer dan dertig rechtszaken die door slachtoffers van het datalek tegen 23andMe zijn aangespannen. In een reactie op het datalek besloot het dna-testbedrijf al de voorwaarden te wijzigen om zo eventuele rechtszaken te voorkomen.

Geen datalek

In een e-mail aan één van de advocatenkantoren die voor slachtoffers een rechtszaak voert stelt 23andMe dat er geen sprake is van een datalek en dat het incident de schuld van gebruikers is. Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten. Daarom was het incident geen gevolg van slechte beveiliging van 23andMe, zo meldt TechCrunch dat de brief in handen kreeg.

De advocaat in kwestie noemt het 'schaamteloos' hoe 23andMe slachtoffers de schuld van het datalek geeft. "Het datalek heeft miljoenen gebruikers geraakt van wie de gegevens via de DNA Relatives-feature op 23andMe waren blootgesteld, niet omdat ze wachtwoorden hergebruikten. Van die miljoenen mensen zijn slechts een paar duizend via credential stuffing gecompromitteerd. De poging van 23andMe om de verantwoordelijkheid af te schuiven door slachtoffer de schuld te geven helpt niet de miljoen gebruikers van wie de gegevens zonder hun toedoen zijn gelekt."

Reacties (21)
04-01-2024, 09:37 door Anoniem
Volkomen logisch, wanneer je geen zelfreflectie hebt, dan ga je niet hand in eigen boezem steken.
Dat zit nu eenmaal in het DNA van narcisten.
04-01-2024, 09:50 door Anoniem
Tja altijd weer die gebruikers. En natuurlijk het internet. Een systeem is veilig als die beide factoren er niet zjin.
<Sarcasme /off>
Wat een drog redenering. Credential stuffing is al zo oud als het wachtwoord. Niet goed te praten maar een fact of life. Dus als je gevoelige data wilt beschermen moet je iets anders gebruiken zoals 2FA. Dat werkt beter dan je marketing afdeling achteraf anderen de schuld van je eigen falen geven.
04-01-2024, 10:16 door Anoniem
23andMe geeft bij het aanmaken van een account ook niet aan om een uniek wachtwoord te kiezen die niet is gekozen op andere platforms. Hiermee schuif je de schuld terug naar 23andMe. Wie de schuld kaatst, kan hem simpel terugverwachten.
04-01-2024, 10:38 door Anoniem
Wat mij enorm verbaast is dat je door een enkel account te hacken, de privégegevens van duizenden mensen kunt benaderen... Data-sharing by design. Keuzes gemaakt door 23andMe.
04-01-2024, 10:40 door Anoniem
Als je helemaal vanuit de je-bent-zelf-verantwoordelijk-en-ieder-voor-zich-mentaliteit redeneert die in de VS en ook hier zo sterk is dan klopt wat 23andMe stelt: het is een opt-in-feature waar de slachtoffers zelf actief voor gekozen hebben en het risico dat het via een zwak wachtwoord van een andere gebruiker in handen van de verkeerde partij komt is dan een risico dat die gebruikers zelf genomen hebben. Eigen schuld dikke bult.

Maar als 23andMe dat echt vindt dan hoeven ze niet voortaan 2FA te verplichten, wat ze wel doen (en wat soortgelijke diensten die hiervan geschrokken zijn ook opeens doen). Dat ze het wel verplichten suggereert op zijn minst dat ze er stiekem helemaal niet zo zeker van zijn dat ze zelf geen verantwoordelijkheid hebben.

With great power comes great responsibility, zoals nota bene in een Amerikaanse superheldenstrip (Spiderman) raak is geformuleerd. Als je in een positie bent om voor velen te bepalen hoe dingen gaan, inclusief welke risico's er zijn, dan heb je de verantwoordelijkheid om dat zo in te richten dat het goed gaat. Daarom hebben auto's vanuit de fabriek kreukelzones, gordels en airbags, en is het niet aan iedere koper voor zich om te zorgen dat dat goed komt. Daarom zijn elektrische apparaten goed geïsoleerd en heb je daar als koper niet zelf voor te zorgen.

Vanuit die positie en de bijbehorende verantwoordelijkheid had 23andMe allang 2FA moeten verplichten, en al helemaal wanneer mensen voor "DNA Relatives" kozen. Vanuit die verantwoordelijkheid had 23andMe vooraf over dit soort risico's moeten nadenken in plaats van pas te reageren als het gierend uit de hand loopt.

Een belangrijk verschil met auto's, elektrische apparaten en dergelijke is dat die er al veel langer zijn dan het internet en IT-diensten, zodat voor die fysieke dingen die verantwoordelijkheid allang wettelijk wordt afgedwongen terwijl de IT zich nog in de wildwest-fase bevindt. Dat we dit soort voorvallen volop langs zien komen laat zien dat het ook echt nodig is dat het nemen van die verantwoordelijkheid wordt afgedwongen, het is duidelijk veel te aantrekkelijk om dat maar over te slaan.
04-01-2024, 10:48 door Anoniem
Door Anoniem: Volkomen logisch, wanneer je geen zelfreflectie hebt, dan ga je niet hand in eigen boezem steken.
Dat zit nu eenmaal in het DNA van narcisten.
En ik vind uw kritiek in hoge mate onredelijk. Er is immers gebruik gemaakt van een Credential Stuffing aanval, en dan ligt de schuld inderdaad niet bij het bedrijf, maar bij de gebruikers.
04-01-2024, 10:52 door Anoniem
Door Anoniem: 23andMe geeft bij het aanmaken van een account ook niet aan om een uniek wachtwoord te kiezen die niet is gekozen op andere platforms. Hiermee schuif je de schuld terug naar 23andMe. Wie de schuld kaatst, kan hem simpel terugverwachten.
Als dat klopt, dan ligt de schuldvraag bij zowel de gebruiker als het bedrijf.
Maar om alleen maar de schuld bij het bedrijf te leggen (zoals sommigen hier doen), gaat nogal ver.
04-01-2024, 11:36 door Anoniem
With great power comes great responsibility, zoals nota bene in een Amerikaanse superheldenstrip (Spiderman) raak is geformuleerd. Als je in een positie bent om voor velen te bepalen hoe dingen gaan, inclusief welke risico's er zijn, dan heb je de verantwoordelijkheid om dat zo in te richten dat het goed gaat. Daarom hebben auto's vanuit de fabriek kreukelzones, gordels en airbags, en is het niet aan iedere koper voor zich om te zorgen dat dat goed komt. Daarom zijn elektrische apparaten goed geïsoleerd en heb je daar als koper niet zelf voor te zorgen.
Leveranciers en fabrikanten zouden daar uit eigen beweging voor horen te zorgen, maar helaas is wetgeving noodzakelijk gebleken om voor een algemene invoering van deze (soms basale) veiligheidsmaatregelen te zorgen. Het is geen slecht idee om de verantwoordelijkheid (met bijbehorende aansprakelijkheid) voor beveiliging wettelijk bij de leveranciers van computerdiensten te leggen, zij zijn in de positie om echt iets aan beveiliging te doen.
Dit is iets waar de wetgeving in de EU mijlen voor loopt op de VS.
04-01-2024, 11:48 door Briolet - Bijgewerkt: 04-01-2024, 11:50
Door Anoniem: Wat mij enorm verbaast is dat je door een enkel account te hacken, de privégegevens van duizenden mensen kunt benaderen... Data-sharing by design. Keuzes gemaakt door 23andMe.

Het staat in het artikel uitgelegd hoe het kan. Deze mensen hebben allen de optie aangezet om hun data met andere gebruikers te delen. Dus als het account van één gehackd is, kun je bij al die gebruikers die hun data willen delen.

Het probleem lijkt me dan ook niet het wachtwoord zelf. Want je kunt ook bij die data als je een legitiem account aan laat maken door een katvanger.
04-01-2024, 14:58 door Anoniem
wel handig, je hebt nu het DNA van domme mensen die dachten op deze manier rijke of bekende familie leden te vinden en die het concept 'eens op internet, altijd op internet' niet snappen, allemaal in 1 database.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..
04-01-2024, 15:04 door Anoniem
Door Anoniem:
Door Anoniem: Volkomen logisch, wanneer je geen zelfreflectie hebt, dan ga je niet hand in eigen boezem steken.
Dat zit nu eenmaal in het DNA van narcisten.
En ik vind uw kritiek in hoge mate onredelijk. Er is immers gebruik gemaakt van een Credential Stuffing aanval, en dan ligt de schuld inderdaad niet bij het bedrijf, maar bij de gebruikers.
Nee, absoluut onwaar. Als website beheerder zie je dat er een credential stuffing aanval is en moet je ingrijpen. Dat is vanuit applicatie logging en Web Application Firewall logging wel vast te stellen, zeker als het vanuit een beperkte set IP adressen wordt uitgevoerd. Maar ook met zo'n aanval vanuit een botnet (waar je dus niet zomaar alle IP adressen kan blacklisten) zie je dat er iets mis is. Let wel: er zijn 14 miljoen gebruikers, en de aanvallers hebben via die aanval op 14 duizend accounts kunnen inloggen. Die aanval heeft dus langere tijd gelopen, en 23andME heeft dat nooit doorgehad? Dan hebben ze hun beveiliging duidelijk niet op orde!
04-01-2024, 15:47 door spatieman
* facepalm mode *
04-01-2024, 16:07 door Anoniem
Door Anoniem: wel handig, je hebt nu het DNA van domme mensen die dachten op deze manier rijke of bekende familie leden te vinden en die het concept 'eens op internet, altijd op internet' niet snappen, allemaal in 1 database.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..

Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
04-01-2024, 19:21 door Anoniem
Door Anoniem:
Door Anoniem: Volkomen logisch, wanneer je geen zelfreflectie hebt, dan ga je niet hand in eigen boezem steken.
Dat zit nu eenmaal in het DNA van narcisten.
En ik vind uw kritiek in hoge mate onredelijk. Er is immers gebruik gemaakt van een Credential Stuffing aanval, en dan ligt de schuld inderdaad niet bij het bedrijf, maar bij de gebruikers.

"De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan."

Heeft het bedrijf dan geen enkele verantwoordelijkheid omdat het haar eigen beveiliging, om geautomatiseerde aanvallen te voorkomen, niet op orde had?
Hoe kunnen ze anders die 14.000 gehackte accounts verklaren? Toeval?
Het is zeker geen SEP (Somebody Else's Problem), wat het bedrijf zelf ook roept.

Maar wel een gieode manier om je bedrijfm door incompetentie, de vernieling in te helpen.
04-01-2024, 19:24 door Anoniem
Door Anoniem:
Door Anoniem: wel handig, je hebt nu het DNA van domme mensen die dachten op deze manier rijke of bekende familie leden te vinden en die het concept 'eens op internet, altijd op internet' niet snappen, allemaal in 1 database.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..

Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.

Die hebben al lang een achterdeurtje bij het bedrijf zelf.
04-01-2024, 19:51 door Anoniem
Door Anoniem:
Door Anoniem: wel handig, je hebt nu het DNA van domme mensen die dachten op deze manier rijke of bekende familie leden te vinden en die het concept 'eens op internet, altijd op internet' niet snappen, allemaal in 1 database.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..

Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
Wat hebben de geheime diensten aan een lijst van domme mensen? Daar kunnen ze toch niks mee? Of maken ze vanuit die lijst een nieuwe lijst met uitsluitend slimme mensen.
04-01-2024, 23:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: wel handig, je hebt nu het DNA van domme mensen die dachten op deze manier rijke of bekende familie leden te vinden en die het concept 'eens op internet, altijd op internet' niet snappen, allemaal in 1 database.
een beetje james bond+ level mastermind kan daar wel virusje mee maken die alle domme mensen laat verdwijnen.
helaas zal het een politici worden die al deze domme mensen op hem laat stemmen, immers dom... dan stem je ook op hem/haar..

Ach wellicht zijn de gegevens voor deze hack al lang verkocht aan de Amerikaanse geheime diensten en gedeeld met andere diensten op de wereld.
Wat hebben de geheime diensten aan een lijst van domme mensen? Daar kunnen ze toch niks mee? Of maken ze vanuit die lijst een nieuwe lijst met uitsluitend slimme mensen.

Wanneer je een dna match hebt gevonden, dan heb je een lijn in de familietak gevonden en ben je verdachten snel op het spoor. Ik onderschat het denkvermogen van de georganiseerde criminaliteit niet, maar ook die hebben veel loopvolk voor hun “klusjes” nodig.
05-01-2024, 09:39 door Anoniem
Wat hebben de geheime diensten aan een lijst van domme mensen? Daar kunnen ze toch niks mee? Of maken ze vanuit die lijst een nieuwe lijst met uitsluitend slimme mensen.

Die domme mensen hebben familieleden waarvan de DNA veel overeenkomsten met elkander hebben. Hiermee geven die domme mensen dus niet alleen hun eigen dna af, maar ook zijn hiermee hun directe familieleden in-the-picture.
(Net als bij whatsapp, als jij niet w'appt , maar iemand anders wel , die ook jouw mobile nummer in diens contacten heeft staan, heeft whatspapp dus ook jouw mobiele nummer en daar rondomhangende meta-data.)

Als slimme jij (dus je zit niet in (deze) dna-dB) nu een misdrijf hebt gepleegd en je hebt per ongeluk je dna achtergelaten, kunnen opsporingsdiensten heel dichtbij komen als je domme neefje z'n dna wel heeft laten opnemen in deze dna-dB. Je domme neefje zal ook vast wel een adres/locatie hebben achtergelaten bij de dna-profilers en nu hoeven ze alleen nog maar de familie Jannssen in Utrecht onder de loep te nemen om slimme jou in te sluiten.
05-01-2024, 09:51 door Anoniem
Volgens het dna-testbedrijf was de aanval alleen mogelijk omdat gebruikers nalatig waren en eerder gelekte wachtwoorden hergebruikten.

23andMe had kunnen voorkomen dat WW hergebruikt zouden worden en had moeten forceren dat het WW vervangen zou moeten worden.
08-01-2024, 16:21 door Anoniem
Bedrijven zoals deze zijn een verkrachting van uw privacy en integriteit, evenals die van uw familieleden die daar niet voor getekend hebben, praktijken zoals deze zouden per direct verboden moeten worden.
21-01-2024, 22:05 door Anoniem
Ik hoop voor hen dat er achteraf niet een andere waarheid uit komt. Want dan wordt het alleen maar ernstiger.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.