تمثل المعلومات الشخصية منجم ذهب من الفرص للجهات الفاعلة في مجال التهديد. لقد اعتدنا على السماع عن أرقام الضمان الاجتماعي وبطاقات الائتمان المعرضة للخطر، ولكن المعلومات الجينية معرضة أيضًا للانتهاكات والتسريبات. قام المتسللون بسرقة البيانات من 23andMe وجمعها قائمة تضم 999,999 شخصًا يزعمون أن لديهم تراثًا يهوديًا أشكنازيًا واستخدموا خدمة الاختبار الجيني للحمض النووي، وفقًا لتقارير NBC News.
كيف تمكن المتسللون من الوصول إلى هذه المعلومات، وماذا يعني هذا النوع من الهجمات بالنسبة للشركات والمستهلكين؟
هجوم حشو بيانات الاعتماد
في السادس من أكتوبر، أصدرت شركة 23andMe مدونة معالجة المخاوف المتعلقة بأمن البيانات. “بينما نواصل التحقيق في هذا الأمر، نعتقد أن الجهات الفاعلة في مجال التهديد تمكنت من الوصول إلى حسابات معينة في الحالات التي أعاد فيها المستخدمون استخدام بيانات اعتماد تسجيل الدخول”، وفقًا للمدونة.
نفذ المتسللون هجومًا لحشو بيانات الاعتماد ضد الشركة: باستخدام بيانات الاعتماد المسروقة من موقع آخر للوصول غير المصرح به إلى حسابات 23andMe الفردية. يقول بويد كليويس، المؤسس المشارك لأكاديمية باكستر كليويس للتدريب، وهي شركة تدريب محترفة في مجال الأمن السيبراني، لموقع InformationWeek: “يقوم معظم الأشخاص بإعادة تدوير كلمات المرور عبر منصات مختلفة”.
وقد حدثت مثل هذه الهجمات من قبل. في شهر يناير، أثر هجوم حشو بيانات الاعتماد تقريبًا 35000 مستخدم باي بال. لتنفيذ هذا النوع من الهجمات، قد تصل الجهات الفاعلة في مجال التهديد إلى كلمات المرور المعاد تدويرها عبر هجوم آخر، أو قد تشتري أسماء مستخدمين وكلمات مرور مخترقة على الويب المظلم.
يمكن للمستخدمين الاشتراك في 23andMe ميزة أقارب الحمض النووي، والذي يسمح لك بالعثور على المستخدمين الآخرين الذين اشتركوا في هذه الميزة والتواصل معهم. يمكن لمستخدم واحد رؤية الآلاف من التطابقات الجينية؛ من المحتمل أن يكون المتسللون قد قاموا بحذف قائمة الأشخاص ذوي التراث الأشكنازي من خلال الوصول إلى الحسابات التي تستخدم هذه الميزة، وفقًا لشبكة NBC News.
المعلومات الجينية المتسربة
اتبع المتسللون القائمة المسربة للأشخاص ذوي التراث الأشكنازي بـ عرض بيع المزيد من بيانات 23andMe، تقارير بليبينجكومبيوتر. وبالإضافة إلى معلومات النسب الجيني، تتضمن القائمة الأسماء الأولى والأخيرة والجنس، وفقًا لشبكة NBC News.
حتى الآن، لا تزال دوافع تسرب البيانات الأولية والموجهة غير واضحة. “هل كانوا سيستخدمون هذا لتحقيق الدخل؟ هل كانوا سيستخدمون هذا للابتزاز؟ هل كانوا سيستخدمون هذا لبناء المصداقية؟ يقول ديميتري سيروتا، الرئيس التنفيذي لمنصة إدارة الخصوصية BigID: “لا أحد يعرف على وجه اليقين”.
يثير سيروتا أيضًا قضية السياسة الملتهبة وجرائم الكراهية. يشير تسريب قائمة الأشخاص ذوي الأصول اليهودية الأشكنازية إلى أن معاداة السامية هي دافع محتمل.
ويمكن استخدام المعلومات المخترقة في خدمة سرقة الهوية، ولكن الآثار المترتبة على المعلومات الجينية المسربة ليست واضحة بسهولة. يقول كليويس: “فيما يتعلق بالمعلومات الجينية الفعلية، أعلم على وجه التحديد أنه يمكن استخدام هذا لاستهداف الأشخاص والأقارب المحتملين”. “[These are] مياه مجهولة الآن.”
دروس للشركات والمستهلكين
23andMe يواجه بالفعل أ دعوى جماعية التي تدعي الإهمال وخرق العقد الضمني وانتهاك الخصوصية. وتقول الدعوى القضائية إن الشركة تحاول إلقاء اللوم على الجهات الفاعلة في مجال التهديد دون منح المستخدمين معرفة كافية حول كيفية حدوث الانتهاك وما إذا تم احتواء التهديد.
في منشور مدونتها، توصي 23andMe المستخدمين بالتأكد من أن لديهم كلمات مرور قوية وتمكين المصادقة متعددة العوامل (MFA) على حساباتهم.
ما الذي يمكن للشركات الأخرى التي تحمي المعلومات الشخصية الخاصة أن تتعلمه من هذا الهجوم؟ يؤكد سيروتا على أهمية حماية بيانات الاعتماد المميزة، والتي يمكن أن تمنح الجهات الفاعلة في مجال التهديد إمكانية الوصول إلى الأنظمة وقواعد البيانات بأكملها عند اختراقها.
ويقول: “الحقيقة المؤسفة هي أنه في بعض الأحيان تكون أوراق الاعتماد المميزة هذه موجودة في العديد من الأماكن في المؤسسة خارج صندوق الأمانات أو القبو”. “لذلك، أعتقد أن المراقبة المستمرة للبيئة، والتأكد من أن أوراق الاعتماد هذه ليست منتشرة وسهلة السرقة … إنه أمر مهم.”
بمجرد أن يتم اختراق بياناتهم، يواجه المستهلكون احتمال مراقبة علامات سرقة الهوية. ولكن يمكنهم أيضًا التفكير في كيفية حماية معلوماتهم الشخصية في المستقبل. يؤكد كليويس على أهمية إدارة كلمات المرور. ويقول: “إذا كنت تعرف كلمة المرور من أعلى رأسك، فمن المحتمل أن يتم الإفراط في استخدامها”. يمكن أن تؤدي إعادة تدوير كلمات المرور إلى تسهيل قيام جهات التهديد بالاستفادة من بيانات الاعتماد هذه للوصول إلى حسابات متعددة.
يقول كليويس: “نحن في مكان في المجتمع حيث يمكن أن تؤدي التسوية بكلمة مرور واحدة إلى تعرض شخص ما للخراب المالي”.
يمكن للمستهلكين أيضًا التفكير في من يسمح لهم بالوصول إلى بياناتهم الشخصية. يقول كليويس: “من المهم قراءة الشروط والأحكام لفهم ما تقحم نفسك فيه”. هل تقوم الشركة التي لديها حق الوصول إلى بياناتك بمشاركةها مع أي طرف ثالث؟ هل يحتفظون ببياناتك إذا قمت بحذف حسابك؟
بالنسبة لسيروتا، فإن أهم ما يمكن تعلمه من هذا الهجوم هو أن جميع المعلومات الشخصية معرضة للخطر. “الناس لا يبحثون فقط عن بطاقات الائتمان وأرقام الضمان الاجتماعي. إنهم الآن يسعون وراء معلومات العضوية والجماعات، سواء كانت عرقية أو انتماء سياسي: كل ذلك له بعض القيمة.
