23andMe는 데이터 유출을 확인했습니다 해커 포럼에서 개인 유전 정보가 판매됩니다
23andMe, personal genetic information being sold in hacker forums due to data breach
미국의 바이오 기업인 23andMe의 사용자 데이터가 유출되어 해커 포럼을 통해 유포되고 있습니다. 23andMe는 BleepingComputer에 이 데이터 유출의 신빙성을 확인하였으며, 이는 자격증명 채움(credential-stuffing) 공격의 결과라고 생각하고 있습니다.
23andMe 사용자 데이터 판매
몇 일 전에, 아슈케나지 유전자를 지닌 개인들에 대한 100만 줄의 데이터가 해커 포럼을 통해 유포되기 시작했습니다. 그리고 10월 4일에는 23andMe로부터 유출된 사용자 데이터 샘플을 유출한 사이버 범죄자가 개별 프로필 데이터셋을 각각 1달러에서 10달러에 판매하기 시작했습니다. 판매 가격은 구매한 데이터셋의 수에 따라 달라집니다.
23andMe는 이 데이터의 신빙성을 BleepingComputer에 확인하였습니다. 대변인은 해커들이 다른 플랫폼에서 유출된 자격증명을 사용한 것으로 보인다고 밝혔습니다. “우리 시스템 내에서의 보안 사고 증거를 찾을 수 없습니다,”라고 그들은 덧붙였습니다.
23andMe의 사용자 데이터 유출에서 노출된 정보에는 사용자의 이름, 위치, 생일, 성별, 사진 및 유전적 혈통 결과가 포함되어 있다고 알려져 있습니다. BleepingComputer의 조사 결과, 판매된 계정 수는 현재 유출된 23andMe 계정의 총 수와 일치하지 않는다고 밝혀졌습니다.
BleepingComputer는 유출된 계정들이 23andMe의 DNA 친척(DNA Relatives) 기능을 활성화한 계정들임을 언급했습니다. 이 기능은 사용자가 유전적 친척을 발견하고 연결할 수 있도록 해줍니다. 해커는 처음에는 제한된 수의 계정에만 접근한 후, 해당 사용자들의 DNA 친척 일치 네트워크에서 데이터를 추출할 수 있었습니다.
ENBLE은 아직 이러한 주장들을 독립적으로 확인하지 않았지만, 23andMe로부터 조사에 대한 자세한 내용을 요청하였습니다. 그럼에도 불구하고 사용자들은 항상 올바른 디지털 하이진(hygiene)을 따라야 합니다. 웹사이트 간에 계정 자격증명을 반복하지 말고, 강력한 비밀번호를 사용하며, 가능한 경우 이중 인증을 활성화해야 합니다. 23andMe는 2fa 보안을 제공하고 사용을 권장하고 있지만, 이 최근 데이터 유출은 DNA 친척과 같은 네트워킹 기능도 또 다른 취약점임을 시사합니다.
