23andMe, het bedrijf dat bekend is om zijn commerciële DNA-kits, heeft bevestigd dat kwaadwillenden erin geslaagd zijn om persoonlijke gebruikersgegevens te verkrijgen via credential stuffing. Deze bevestiging volgt op een melding die een week geleden opdook op een hackersforum, waar een anonieme gebruiker, gegevens van miljoenen 23andMe-gebruikers te koop aanbood.
Geen veiligheidsproblemen bij 23andMe
Het bedrijf benadrukt dat hun eigen systemen niet zijn ondermijnd, maar dat de aanvallers erin slaagden binnen te dringen door middel van credential stuffing. Dat is een techniek waarbij hackers gebruikmaken van gelekte inloggegevens van eerdere getroffen websites.
Risico van zwakke en herhalende wachtwoorden
Indien je steeds hetzelfde wachtwoord gebruikt voor al je accounts op verschillende websites, kunnen kwaadwillenden bij een datalek ook snel toegang krijgen tot je andere accounts. Het is daarom verstandig om consequent te kiezen voor unieke, krachtige wachtwoorden en tweestapsverificatie toe te passen voor een extra beveiligingslaag.
Miljoenen gegevens via ‘DNA Relatives’
Nadat de hackers toegang hadden verkregen tot de accounts, maakten ze gebruik vaan de ‘DNA Relatives‘-functie om ook data over andere gebruikers te verzamelen uit de database. Via deze optie – indien de accounts zich hiervoor hadden aangemeld -, kunnen gebruikers verwanten vinden die hun DNA ook hebben laten analyseren via 23andMe. Op dit moment is het exacte aantal getroffen gebruikers nog onbekend, maar het betreft voornamelijk accounts van Asjkenazische Joden.
In het meest recente bericht op het forum (dat intussen ook verwijderd is), beweert de aanbieder te beschikken over: miljoenen op maat gemaakte etnische groeperingen, mutaties, uiterlijke kenmerken, namen, geslachten, geboortejaren, profielfoto’s en een lijst met honderden mogelijke verwanten. Momenteel onderzoekt 23andMe het incident grondig.
