แฮกเกอร์รายหนึ่งได้โฆษณาขายข้อมูลหลายล้านชิ้นที่ถูกขโมยจาก 23andMe ซึ่งเป็นเว็บไซต์ด้านเทคโนโลยีชีวภาพและพันธุกรรมของสหรัฐ
23andMe ให้บริการทดสอบทางพันธุกรรมแก่ลูกค้าที่ส่งตัวอย่างน้ำลายไปที่ห้องปฏิบัติการ และลูกค้าจะได้รับรายงานเกี่ยวกับบรรพบุรุษและความบกพร่องทางพันธุกรรม
เมื่อเร็ว ๆ นี้ แฮกเกอร์ได้ปล่อยตัวอย่างข้อมูลที่ถูกขโมยมาจากบริษัทด้านพันธุกรรมแห่งหนึ่ง และไม่กี่วันต่อมา แฮกเกอร์ก็ได้เสนอขายชุดข้อมูลของลูกค้า 23andMe บนฟอรัมออนไลน์แห่งหนึ่งที่บรรดาแฮกเกอร์ใช้ในการโฆษณาขายข้อมูล
ทั้งนี้ แฮกเกอร์ได้เสนอขายโปรไฟล์ข้อมูลบัญชีลูกค้าของ 23andMe จำนวนมากในราคา 1-10 ดอลลาร์ต่อบัญชี โดยขึ้นอยู่กับจำนวนที่ซื้อ
23andMe ระบุในแถลงการณ์เมื่อวันศุกร์ (6 ต.ค.) ว่า ข้อมูลโปรไฟล์ของลูกค้าได้ถูกรวบรวมผ่านการเข้าถึงบัญชี 23andMe.com แต่ละบัญชี ขณะที่ระบบของบริษัทไม่ได้ถูกแฮกแต่อย่างใด
“เราไม่มีข้อบ่งชี้ใด ๆ ในขณะนี้ว่า มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นกับข้อมูลภายในระบบของเรา” แถลงการณ์จาก 23andMe ระบุ
แถลงการณ์ยังระบุด้วยว่า แฮกเกอร์อาจรวบรวมรหัสผ่านที่ถูกขโมยจากเว็บไซต์อื่น ๆ และนำรหัสผ่านเหล่านั้นมาใช้ในการเข้าถึงบัญชีบน 23andMe ซึ่งเทคนิคนี้เรียกว่า credential stuffing โดยนำข้อมูลที่เคยรั่วไหลมาลองใช้ในการเข้าถึงบัญชีต่าง ๆ อีกครั้ง ซึ่งเป็นเหตุผลหนึ่งที่ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ไม่แนะนำให้ใช้รหัสผ่านเดียวกันสำหรับเว็บไซต์ต่าง ๆ และยังแนะนำว่า การป้องกันด้วยรหัสผ่านสองชั้นหรือที่เรียกว่าการยืนยันตัวตนแบบสองปัจจัย (two-factor authentication) นั้น สามารถช่วยขัดขวางการแฮกประเภทนี้ได้
โดย สำนักข่าวอินโฟเควสท์ (07 ต.ค. 66)
Tags: 23andMe, แฮกเกอร์