2023-12-04(Mon) by Thomas Germain
[Photo: Michael Vi / Shutterstock.com (Shutterstock)]
유전자 정보가 포함된 데이터 유출로 인해 23andMe 사용자의 거의 절반이 영향을 받았다
세계 최대의 소비자 DNA 채취 기업인 23andMe는 금요일 해커들이 약 14,000명의 조상 정보와 다른 사용자에 대한 "상당한 수의 파일"을 훔쳤다고 발표했다. 이 문장에서 "상당한"이라는 단어가 많은 일을 하고 있는 것으로 밝혀졌다. TechCrunch에 따르면, 23andMe는 사람들의 유전 정보를 포함하여 약 690만 명의 사용자 데이터를 손실했다.
계산기가 없으신 분들을 위해 말씀드리자면, 이는 23andMe가 처음 보고한 수치보다 거의 50,000% 증가한 수치이다.
23andMe 대변인은 이메일을 통해 해커가 회사의 'DNA 친척' 기능에 동의한 약 550만 명의 사용자로부터 이름, 생년월일, 관계 라벨, 친척과 공유하는 DNA 사용자 비율, 혈통 보고서, 위치 등의 데이터를 훔쳤다고 확인했다. 또한, DNA 친척에 동의한 140만 명도 "가계도 프로필 정보에 액세스할 수 있게 되었다."
대변인은 도난당한 데이터에는 조상 보고서와 일치하는 DNA 세그먼트(특히 자신과 친척의 염색체 중 일치하는 DNA가 있는 부분), 조상 출생지 및 가족 이름, 프로필 사진, 프로필의 '자기 소개' 섹션에 포함된 모든 정보도 포함될 수 있다고 말했다.
즉, 23andMe가 증권거래위원회(SEC)에 제출한 서류에서 구체적으로 언급한 0.1%뿐만 아니라 1,400만 명의 사용자 중 약 절반의 데이터에 대한 통제권을 상실했다는 뜻이다. SEC는 논평 요청에 즉시 응답하지 않았다.
대변인에 따르면 이 차이는 데이터에 직접 액세스한 사람과 관련이 있다고 한다. 대변인은 "조사 결과 위협 행위자가 사용자 계정(약 14,000개)의 극히 일부(0.1%)에만 액세스할 수 있었다는 사실을 확인했다."고 말했다. 하지만 DNA 친척 기능에 참여하면 다른 사용자에 대한 데이터도 볼 수 있다. 다시 말해, 유출된 14,000개의 계정은 기하급수적으로 더 많은 사람들에 대한 정보를 제공한다.
DNA 친척은 사용자가 23andMe 계정에 가입할 때 플랫폼에서 제공하는 여러 데이터 공유 기능 중 하나에 불과하다.
23andMe 대변인은 이번 해킹이 크리덴셜 스터핑 공격으로, 해커가 사람들이 23andMe에 가입할 때 재사용한 유출된 사용자 이름과 비밀번호로 개별 계정에 침입했다고 말했다. 안타깝게도 비밀번호를 재활용하는 것은 사용자의 요청에 의한 것이지만, 주요 온라인 플랫폼에는 대량의 크리덴셜 스터핑을 방지하기 위한 보안 조치가 마련되어 있는 경우가 많다.
"참고로, 시스템 내에서 침해 또는 데이터 보안 사고가 발생했거나 23andMe가 이번 공격에 사용된 계정 인증정보의 출처였다는 어떠한 징후도 발견되지 않았습니다."라고 대변인은 말했다.
23andMe는 공격이 발생한 후 몇 주 동안 모든 사용자에게 비밀번호를 변경하도록 했다고 밝혔다. 안타깝게도 DNA를 변경하는 것은 훨씬 더 어렵기 때문에 민간 기업과 유전 정보를 공유하는 것을 재고해야 할 것이다.
[뉴스 출처] https://gizmodo.com/23andme-dna-test-hackers-stolen-data-6-million-users-1851071432
