23andMe基因檢測遭駭 數百萬個資失竊

基因檢測業巨頭23andMe最近傳出有數百萬用戶帳帳號姓名、照片、出生細節和種族等個資遭駭客竊走外洩。華爾街日報報導，此事件向世人明確揭示了一項與資料安全攸關的簡單事實：不要重複使用密碼。

23andMe在10月首次披露此事件，之後一直在調查。該公司發言人4日證實，駭客使用重複密碼，得以進入1萬4000個帳戶，大約有690萬人資料遭竊。23andMe的電腦網路沒有被破壞，也不是這些憑證洩漏的原由。

安全專家表示，被用來闖入這些帳戶的密碼，很可能是從其他網站竊取的。由於它們被重複使用，因此也適用於 23andMe的帳戶。這種攻擊類型被稱為「撞庫攻擊」(credential stuffing)，它讓23andMe及其他大企業包括Netflix、任天堂、Zoom和PayPal在內，一樣成為這㮔網路犯罪趨勢的受害者。

網路安全顧問公司R10N Security負責人麥吉漢(Ryan McGeehan)表示，撞庫攻擊數千個帳戶的情況並非不常見，但像23andMe這樣數據出問題的情況實屬罕見；「主要的問題是23andMe既是社群網站，也有醫療保健訊息；這兩者增加了數據暴露風險以及數據本身的價值。」

史丹佛大學隱私與資料政策研究員金恩(Jennifer King)表示，DNA目前對駭客來說還沒有明確的市場價值；「但考慮到它的獨特性和不可替代性，若我們以為它毫無價值，就太蠢了。」

網路安全顧問公司Hold Security創辦人霍登(Alex Holden)表示，此類有關親屬和家庭關係的資訊，可能會被網路詐騙者利用，他們有時會冒充需要金錢的家庭成員。

駭客已創建各種自動化工具來測試從新網站上盜走的密碼。麥吉漢說：「我們不必完全擺脫密碼，但我們可以減少密碼暴露的數量。」23andMe正在提示所有用戶立即更改密碼，且確保它是獨特且複雜的。

更多世界日報報導
紐約州65歲以上無證客 明年起可獲白卡
放眼2024年房市6大趨勢 買屋壓力有望減輕
若美國會拒准援烏經費 葉倫：美方將為烏克蘭戰敗負責