《華爾街日報》：23andMe數據泄露事件為你的密碼習慣敲響警鐘

插圖：華爾街日報，iStock近期23andMe用户賬户遭入侵事件揭示了一個簡單卻有力的數據安全真相：人們啊，別重複使用密碼。

這家基因檢測公司週一報告稱，由於密碼重複使用，黑客入侵了14,000個賬户，導致約690萬人的信息泄露。公司發言人在聲明中表示，23andMe的計算機網絡並未被攻破，這些遭泄露的憑證也非源自其系統。該公司於10月首次披露該事件，並持續展開調查。

安全專家指出，攻破這些賬户的密碼極可能是從其他網站竊取的。由於用户重複使用相同密碼，這些憑證在23andMe同樣有效。此類攻擊被稱為"憑證填充"，使23andMe與Netflix、任天堂、Zoom和PayPal等知名企業一同成為這種網絡犯罪趨勢的受害者。

網絡安全諮詢公司R10N Security的所有者Ryan McGeehan表示，憑證填充攻擊導致數千賬户淪陷並不罕見，但23andMe涉及的數據類型卻非比尋常。

“問題在於23andMe既是社交平台又包含健康信息，“他解釋道，“這兩點都增加了數據暴露的風險，同時也提升了數據本身的價值。”

敏感數據

這家總部位於加利福尼亞的生物技術公司通過家庭DNA分析為用户提供有關其基因構成的信息。客户會收到郵寄的測試套件，並寄回唾液樣本，23andMe通過分析這些樣本來揭示關於血統、遺傳特徵、健康傾向以及他們是否是某些遺傳病症潛在攜帶者的信息。

用户還可以選擇加入DNA親屬功能，使他們能夠找到並與23andMe數據庫中的遺傳親屬建立聯繫。他們還可以使用家譜工具向他們的個人資料和家庭成員添加信息。

通過10月發生的一次數據泄露，黑客訪問了約550萬份DNA親屬個人資料文件，其中包括位置、顯示名稱、關係標籤以及與匹配者共享的DNA數據。攻擊者還訪問了140萬擁有家譜個人資料的客户，這些資料包含的信息較少，但包括出生年份和地點等個人標識符。

斯坦福大學隱私和數據政策研究員珍妮弗·金表示，目前DNA對黑客來説沒有明確的市場價值。“但考慮到它的獨特性和不可替代性，如果我們認為它沒有任何價值，那就太愚蠢了，”她説。“在某些情況下，你可能不會面臨重大風險。但你可能會與某些面臨風險的人有關聯。”

網絡安全諮詢公司Hold Security的創始人亞歷克斯·霍爾登表示，這種關於親屬和家庭關係的信息可能會被網絡詐騙者利用，他們有時會假裝是需要錢的家人。

密碼保護措施

黑客開發了多種自動化工具，用於在新網站上測試竊取的密碼。隨後，他們會將有效的密碼打包成數據庫，在犯罪論壇上出售。這導致過去幾年中，憑據填充攻擊激增。這也促使許多公司採用新的認證技術，例如完全摒棄密碼的通行密鑰，以及多重身份驗證——後者要求在進入賬户前進行額外的身份確認。

McGeehan表示，儘管公司仍在使用密碼，但這些新選項使安全性更高。“我們不必完全拋棄密碼，但可以減少其暴露的機會，”他説。

如果你是23andMe的用户，首先要做的是立即更改密碼，該公司正在提示所有用户這樣做。

確保密碼是獨特且複雜的。如果你在多個賬户上使用相同的密碼，請立即停止！考慮使用密碼管理器為每個網站存儲獨特的密碼，以減少密碼重複使用的風險。23andMe在11月6日的博客文章中表示，將在現有客户下次登錄時自動為其啓用雙重認證。

該公司表示，如果發現客户的數據被未經授權訪問，將直接通知客户。

聯繫Dalvin Brown，郵箱：[email protected]；聯繫Robert McMillan，郵箱：[email protected]

—欲瞭解更多《華爾街日報》科技分析、評論、建議及頭條新聞，請訂閲我們的每週通訊。

刊載於2023年12月7日印刷版，標題為《23andMe數據泄露事件揭示重複使用密碼的風險》。