23andMe 称其 1400 万用户中近一半遭遇数据泄露

据报道，23andMe 用户数据遭黑客攻击的严重程度远超公司代表今年早些时候承认的情况。尽管最初报告称受影响用户不到 1%，但公司发言人上周末证实的其他数据集评估表明，多达一半的 23andMe 账户可能涉及此次安全漏洞。

[相关：选择退出：放弃在家进行基因检测的 5 个理由。]

去年 10 月，这家颇受欢迎的基因检测公司透露，黑客已经获取了部分用户的个人信息，例如姓名、出生年份、家庭关系、DNA 信息、血统报告、自报位置和 DNA 数据。23andMe 声称，此次入侵很可能是暴力攻击的结果。在这种情况下，恶意行为者会利用客户之前泄露的登录信息，这些信息通常是多个互联网账户使用的重复密码和用户名。23andMe 在接下来的近两个月内没有提供具体数字——12 月 1 日，美国证券交易委员会披露，该公司估计只有 0.1% 的用户（约 14,000 名客户）受到直接影响。然而，在同一份文件中，23andMe 还承认，其他用户的“大量”血统信息可能也间接包含在此次泄露中。

上周末， TechCrunch与 23andMe 官员的交谈确认了数据泄露受害者的最终统计数字：约 690 万用户，约占所有账户的一半。

这些用户中，约有 550 万人曾选择使用该服务的 DNA 亲属功能，该功能允许用户之间自动共享部分个人数据。除了这些客户之外，黑客还从另外 140 万使用 DNA 亲属功能的用户的 Family Tree 个人资料数据中窃取了数据。受害者人数估计增加据称源于 DNA 亲属功能，该功能不仅允许黑客查看受感染用户的信息，还允许黑客查看其所有列出的亲属的信息。

[相关：为何政府机构不断遭受黑客攻击。]

虽然黑客事件于 10 月首次公开宣布，但有证据表明，这些入侵事件早在两个月前就发生了。当时，一个流行黑客论坛上的一名用户以 5000 万美元的价格提供超过 300 TB 的所谓 23andMe 个人资料数据，或者以 1,000 至 5,000 美元的价格购买一小部分缓存。

10 月份，在另一个黑客论坛上，另一名用户宣布他们掌握了 100 万名阿什肯纳兹犹太裔用户以及 10 万个中国账户的数据，感兴趣的各方可以以每个账户 1 至 10 美元的价格购买这些信息。

自 10 月份确认发生泄密事件以来，23andMe 与 MyHeritage 和 Ancestry 等基因检测公司一起对所有账户实施了强制性双因素身份验证方法。

更新时间：12/7/23 2:06PM：本文已编辑，以更准确地反映数据泄露的某些细节。