Функция DNA Relatives сопоставляет данные клиентов с данными других пользователей, чтобы найти генетические совпадения.
Согласно данным внутреннего расследования, хакеры первоначально взломали около 0,1% аккаунтов (или 14 тыс. из 14 млн), однако благодаря функции DNA Relatives смогли проникнуть и в другие учетные записи — около 5,5 млн. Дополнительно 1,4 млн аккаунтов пострадали из-за того, что хакеры воспользовались информацией профиля Family Tree.
В профилях DNA Relatives содержатся конфиденциальные данные, такие как имена, фамилии и местонахождение, информация о ДНК-совпадениях, потенциальные связи и отчеты о происхождении. Профили Family Tree раскрывают информацию об именах, отношениях, годах рождения и местонахождении.
После первого сообщения об утечке в октябре и проведении первоначального расследования 23andMe заявила, что «утечки результатов генетического тестирования не было».
Для атаки хакеры использовали логины и пароли для входа, которые дублировались с ранее сломанных сайтов, а затем обнародовали полученную информацию в даркнете. Данные отдельных жертв пытались продать за $1-10. В то же время, до публикации новости о взломе 23andMe, на другом хакерском форуме предлагали большее количество данных компании — около 300 терабайтов продавали за $50 млн.
23andMe советовала пострадавшим изменить свои пароли, а позже ввела обязательную двухфакторную аутентификацию. Впоследствии, компания добавила, что «атаку хакеров удалось сдержать» и, что она «работает над удалением опубликованной информации».
Источник: TechCrunch, Engadget