[ad_1]
23andMe ha afirmado que los atacantes utilizaron una técnica llamada relleno de credenciales para comprometer sus 14.000 cuentas de usuario, encontrando casos en los que otros servicios de 23andMe reutilizaron las credenciales filtradas. Después del incidente, la empresa obligó a todos los usuarios a restablecer sus contraseñas y comenzó a exigir autenticación de dos factores para todos los clientes. En las semanas posteriores a la divulgación inicial de la infracción por parte de 23andMe, se ofrecieron otros servicios similares. incluidos Ancestry y MyHeritage, también han comenzado a promover o exigir la autenticación de dos factores para sus cuentas.
Sin embargo, en octubre y nuevamente esta semana, WIRED presionó a 23andMe para que concluyera que el compromiso de las cuentas de los usuarios se debía únicamente a ataques de relleno de credenciales. La compañía se negó repetidamente a hacer comentarios, pero varios usuarios dijeron que confiaban en que los nombres de usuario y contraseñas de sus cuentas 23andMe eran únicos y no podrían haber sido expuestos en otra filtración.
Sin embargo, al menos en un ejemplo, 23andMe finalmente proporcionó una explicación al usuario. El martes, Rob Joyce, director de ciberseguridad de la Agencia de Seguridad Nacional de EE. UU., dijo escrito en su personal podría eliminarse «. Joyce escribió que crea una dirección de correo electrónico única para cada empresa con la que crea una cuenta. «Esta cuenta no se usa en NINGÚN otro LUGAR y ha sido rellenada en vano», escribió, y agregó: «Opinión personal: el hackeo de @23andMe fue AÚN peor de lo que creen con un nuevo anuncio».
Horas después de que Joyce planteara públicamente estas preocupaciones (y WIRED le preguntara a 23andMe sobre su caso), Joyce dijo que la compañía se comunicó con él para averiguar qué pasó con su cuenta. Aunque Joyce usó una dirección de correo electrónico única para su cuenta 23andMe, la compañía se asoció con MyHeritage en 2014 y 2015 para mejorar la funcionalidad del «árbol genealógico» de DNA Relatives, que Joyce dijo que usó más tarde. Luego, en 2018, MyHeritage sufrió una violación de datos separada que aparentemente expuso la dirección de correo electrónico única de Joyce, 23andMe. Agrega que debido al uso de contraseñas únicas y seguras en sus cuentas MyHeritage y 23andMe, los atacantes nunca han logrado comprometer ninguna de ellas.
La anécdota subraya la importancia de compartir datos de usuarios entre empresas y funciones de software que promuevan el intercambio social cuando la información en cuestión es profundamente personal y está directamente relacionada con la identidad. Puede ser que el mayor número de usuarios afectados no hayan sido incluidos en el informe de la SEC porque 23andMe (como muchas empresas que han sufrido violaciones de seguridad) no quiere tenerlo en cuenta. raspado Datos en la categoría de quebrado Datos. Sin embargo, estos límites en última instancia dificultan que los usuarios comprendan el alcance y el impacto de los incidentes de seguridad.
«Creo firmemente que la ciberinseguridad es fundamentalmente un problema político», dijo Brett Callow, analista de amenazas de la firma de seguridad Emsisoft. «Necesitamos leyes estandarizadas y consistentes sobre divulgación e información, un lenguaje prescrito para estas divulgaciones e informes, y regulación y concesión de licencias a los negociadores». Muchas cosas suceden en secreto o quedan oscurecidas por palabras endebles. Es contraproducente y sólo ayuda a los ciberdelincuentes”.
Mientras tanto, aparentemente la usuaria de 23andMe, Kendra Fee marcado El martes, 23andMe informará a los clientes sobre los cambios en sus términos de servicio relacionados con la resolución de disputas y el arbitraje. La compañía dice que los cambios «promoverán la resolución rápida de cualquier disputa» y «agilizarán los procedimientos de arbitraje cuando se presenten múltiples reclamos similares». Los usuarios pueden optar por no participar en los nuevos Términos notificando a la Compañía su exclusión voluntaria dentro de los 30 días posteriores a la recepción del aviso del cambio.
Actualizado el 5 de diciembre de 2023 a las 10:35 p.m. ET para incluir nueva información sobre la cuenta 23andMe del director de ciberseguridad de la NSA, Rob Joyce, y las implicaciones más amplias de su experiencia.
[ad_2]