قراصنة يسرقون البيانات الجينية والعائلية لملايين مستخدمي 23andME
⬤ تعرضت شركة 23andMe إلى عملية اختراق تسببت في وصول القراصنة إلى حسابات نحو 14 ألف عميل، وكشفت معلومات الملايين.
⬤ تتخصص الشركة بمجال التحليل الجيني للمساعدة على تحديد النسب وحتى التعرف على الأقارب المفقودين حول العالم.
⬤ تضمنت البيانات المسروقة كلاً من اسم الشخص، وسنة ميلاده، وأوصاف العلاقات، ونسبة الحمض النووي الذي يتشاركه مع الأقارب.
أعلنت شركة 23andMe، المختصة بتوفير خدمات الجينوم، أنّ مخترقين نجحوا في الوصول إلى البيانات الشخصية لنسبة قدرها 0.1% من عملاء الشركة، أي ما يعادل 14،000 شخص تقريباً. وقالت الشركة إنّ المخترقين استطاعوا بذلك الوصول إلى “مجموعة كبيرة من الملفات التي تتضمن معلومات شخصية عن أنساب مستخدمين آخرين”، غير أن 23andMe لم تحدد في بادئ الأمر عدد “المستخدمين الآخرين” الذين تضرروا من هذا الاختراق، الذي كشفت عنه الشركة في مطلع شهر أكتوبر الماضي.
ومع ذلك اتضح أنّ عدد “المستخدمين الآخرين”، الذي تضرروا من اختراق البيانات، يناهز 6.9 مليون شخص بالمجمل. وكانت المتحدثة الرسمية باسم 23andMe قد أرسلت رسالة بريد إلكتروني إلى موقع TechCrunch الإلكتروني، وقالت إنّ المخترقين وصلوا إلى المعلومات الشخصية لنحو 5.5 مليون فرد، ممن اشتركوا في ميزة DNA Relatives التي تقدمها الشركة، والتي تتيح للعملاء مشاركة بعض بياناتهم تلقائياً مع الآخرين. وتضمنت البيانات المسروقة خلال عملية الاختراق كلاً من: اسم الشخص، وسنة ميلاده، وأوصاف العلاقات، ونسبة الحمض النووي الذي يتشاركه مع الأقارب، وتقارير النسب.
وأكدت شركة 23andMe أيضاً أن مجموعة أخرى من المستخدمين، تقدر بنحو 1.4 مليون شخص اشتركوا في ميزة DNA Relatives، قد تضرروا من العملية؛ إذ وصل المخترقون إلى “معلومات شخصية بخصوص شجرة العائلة لكل منهم”، وتضمن ذلك الأسماء، وأوصاف العلاقات، وسنة الميلاد، والموقع المبلغ عنه ذاتياً. وتبدو عملية الاختراق كبيرة جداً عند تأمل الأرقام السابقة؛ إذ إنّها تؤثر على نصف عملاء شركة 23andMe البالغ عددهم 14 مليون عميل تقريباً.
وعلى كل حال سبق لأحد المخترقين أن ادعى في مطلع أكتوبر سرقة بيانات الحمض النووي العائدة لمستخدمي الشركة، ونشر هذا الخبر في منتدى معروف للقراصنة، وأرفقه بنشر بيانات نحو مليون مستخدم من أصول يهودية أشكنازية، وبيانات 100 ألف مستخدم صيني، وطلب من المشترين المحتملين مبلغاً يتراوح بين 1-10 دولارات مقابل بيانات كل مستخدم. وبعد انقضاء أسبوعين تقريباً، أعلن المخترق نفسه عن السجلات المزعومة لأربعة ملايين مستخدم آخرين في المنتدى ذاته.
كذلك اكتشف فريق موقع TechCrunch أن مخترقاً آخر سبق وأعلن في منتدى ثانٍ عن مجموعة البيانات المزعومِ سرقتها والعائدة لعملاء شركة 23andMe، وقد نشر إعلانه قبل شهرين من الإعلان الآخر الواسع الانتشار. وعكف الفريق على تحليل البيانات المسربة، فتوصل إلى أن بعض السجلات متطابقة مع البيانات الجينية التي ينشرها المهتمون وعلماء الأنساب على شبكة الإنترنت؛ فصحيح أنّ تنسيق مجموعتي البيانات مختلف بينهما، لكنها تحتويان على بعض البيانات الفريدة والعامة للمستخدم، مما يوحي بأن البيانات التي جرى تسريبها إلى الإنترنت كانت جزءاً من بيانات عملاء 23andMe الأصلية.
وكانت الشركة قد صرحت بأنّ اختراق البيانات حدث لأن المستخدمين أعادوا استعمال كلمات المرور، مما أتاح اختراق حسابات الضحايا باستعمال كلمات مرور معروفة كشفتها اختراقات سابقة لبيانات شركات أخرى. وتفاقم الأمر نظراً لطريقة عمل ميزة DNA Relatives، التي تطابق المستخدمين مع أقاربهم، لذلك يؤدي اختراق حساب واحد إلى رؤية البيانات الشخصية لصاحب الحساب وأقاربه، وهذا يفسر العدد الإجمالي الضخم للضحايا.