상세 컨텐츠

본문 제목

23andMe, 개인유전정보를 해킹당하고 해커가 광고할 때까지 방치

IT 소식

by 웨어러블서치 2023. 10. 11. 14:46

본문

반응형

Hackers advertised 23andMe stolen data two months ago

해커들은 두 달 전에 23andMe에서 데이터를 훔쳤다고 광고했습니다.


미국의 유전자 검사 회사인 23앤미(23andMe)는 지난주 해커가 해킹 포럼에서 광고한 개인유전정보 데이터를 광고한 내용에 대한 보안 사고를 조사를 진행하고 있습니다. 도난당한 것으로 추정되는 개인유전정보 데이터는 훨씬 더 오랫동안 유포되고 있는 것 같습니다.

23앤미는 누구나 돈만 내면 자신의 유전자 정보를 확인할 수 있는 서비스를 제공하는 회사로 개인 정보에 대해서는 개인이 거주하는 주의 법률을 따르도록 되어 있습니다. 이는 의료 서비스 제공자가 아닌 일반 회사로 분류되고 있기 때문이라고 합니다.

미국의 IT 언론사인 테크크런치(TechCrunch)는 광고된 도난 데이터 중 일부가 이미 알려진 23앤미 사용자 정보와 일치한다는 사실을 확인했다고 합니다.

지난 2023년 8월 11일, Hydra라는 사이버 범죄 포럼에서 한 해커가 지난주에 유출된 데이터 중 일부와 일치하는 23앤미 사용자 데이터 세트를(BreachForums)라는 다른 다크웹 포럼에 광고했습니다.

해커는 Hydra의 이전 게시물에서 300테라바이트의 23앤미의 사용자 데이터를 해킹했다고 주장했으며, 23앤미에 연락했지만 "문제를 심각하게 받아들이지 않고 관련 없는 질문을 했다"고 말했습니다. 해커는 데이터에 대해 5,000만 달러를 요구했으며, 단 한 번만 판매하겠다고 주장했지만, 23앤미는 일부 데이터만 1,000달러에서 1만 달러 사이에서 협상하겠다고 제안했다고 합니다.

지난주 유출 소식이 보도되기 훨씬 전에 Hydra의 게시물을 보고, 다른 사람이 공개 인터넷에 게시글을 올려 해킹사실을 공개했습니다. Hydra 포럼 게시물과 같은 날, 레딧(Reddit)이라는 소셜 커뮤니티의 어떤 사용자가 23앤미의 비공식 서브 레딧에 글을 올려 다른 사용자들에게 유출 사실을 알렸습니다.

해커는 Hydra 게시물에서 실리콘 밸리 고위 임원의 유전자 데이터로 추정되는 것을 공유했는데, 이 데이터 세트는 지난 주 브리치포럼에서 광고된 데이터 세트 중 하나에서 발견된 것과 동일한 사용자 프로필 및 유전자 데이터를 포함하고 있습니다. 브리치포럼에 광고된 데이터 세트에는 유대계 아시케나지 혈통의 23앤미 사용자 뿐 아니라 100만 명과 중국계 23앤미 사용자 10만 명이 포함되어 있는 것으로 추정됩니다.

23앤미는 유출된 데이터가 합법적인지 여부에 대한 확인을 거듭 거부하고 있습니다. 이 회사는 두 달 전의 해킹 포럼 게시물을 알고 있었는지를 포함하여 이 기사에 대한 일련의 질문에 대한 답변을 거부했습니다.

23앤미의 대변인인 케이티 왓슨은 테크크런치에 "이 문제는 현재 진행 중인 조사의 대상입니다. 현재로서는 더 이상 언급할 수 없습니다."라고 말했습니다.

테크크런치는 도난당한 것으로 추정되는 데이터 중 일부를 애호가나 계보학자가 온라인에 게시한 계보 기록과 같은 알려진 공개 계보 기록과 비교하여 분석했습니다. 테크크런치는 도난당한 것으로 추정되는 데이터에서 공개 족보 기록에서 발견된 사용자 프로필 및 유전 정보와 일치하는 수십 개의 기록을 발견했습니다. 이는 피해자가 다른 서비스에서 이미 유출되었거나 온라인에 공개된 비밀번호를 재사용할 것을 노리고 한 서비스의 비밀번호를 다른 서비스에 시도하는 일반적인 해킹 기법인 크리덴셜 스터핑을 통해 '특정 계정'에서 도난당한 데이터라는 23앤미의 설명과 일치하는 것으로 보입니다.

23앤미는 기본적으로 비밀번호를 재사용한 사용자의 책임으로 돌리고 있으며, 해커가 해당 사용자의 계정에 침입한 후 피해자의 친척을 포함한 데이터를 스크래핑했기 때문에 유출이 발생했다고 주장하고 있습니다.

또한 해커가 어떻게 그렇게 많은 데이터를 수집했는지에 대해 특정 기능을 지적했습니다. 23앤미에는 DNA 친척이라는 옵트인 기능이 있는데, 이 기능을 통해 사용자는 이 기능에 옵트인한 다른 사용자의 정보를 확인할 수 있었다고 합니다.

광고된 모든 데이터가 합법적인지, 해커가 실제로 얼마나 많은 합법적인 데이터를 보유하고 있는지는 불분명합니다. 해커가 해킹 포럼에서 데이터를 판매할 가능성을 높이기 위해 자신이 보유한 데이터를 과장하는 것은 자주 있는 일 입니다.

그 동안 23앤미는 모든 사용자에게 비밀번호를 재설정하고 변경하라는 메시지를 보냈으며, 다단계 인증을 사용하도록 권장했습니다. 이러한 해킹에 대한 우려는 23앤미의 사업 초창기 부터 문제로 지적된 것이며, 생명윤리와 함께 미국 FDA와 지속적인 마찰이 있었던 문제이기도 합니다. 23앤미는 사람의 염색체 갯수에서 착안한 사명으로 2006년 설립되어 2021년 6월에 나스닥에 상장되었고, 그해 11월에 원격의료회사인 Lemonaid Health에 인수되었습니다.


※ 기사 내용 참조

[TechCrunch] Hackers advertised 23andMe stolen data two months ago | Lorenzo Franceschi-Bicchierai, Zack Whittaker | 7:00 AM GMT+9•October 11, 2023 | https://techcrunch.com/2023/10/10/hackers-advertised-23andme-stolen-data-two-months-ago/


 

https://pf.kakao.com/_UCxoxnT

 

웨어러블서치

기술이 어디를 향하고 개인과 사회에 어떤 영향을 미치는지 연구합니다.

pf.kakao.com

 

728x90
반응형

관련글 더보기

댓글 영역