《华尔街日报》：23andMe数据泄露事件为你的密码习惯敲响警钟

插图：华尔街日报，iStock近期23andMe用户账户遭入侵事件揭示了一个简单却有力的数据安全真相：人们啊，别重复使用密码。

这家基因检测公司周一报告称，由于密码重复使用，黑客入侵了14,000个账户，导致约690万人的信息泄露。公司发言人在声明中表示，23andMe的计算机网络并未被攻破，这些遭泄露的凭证也非源自其系统。该公司于10月首次披露该事件，并持续展开调查。

安全专家指出，攻破这些账户的密码极可能是从其他网站窃取的。由于用户重复使用相同密码，这些凭证在23andMe同样有效。此类攻击被称为"凭证填充"，使23andMe与Netflix、任天堂、Zoom和PayPal等知名企业一同成为这种网络犯罪趋势的受害者。

网络安全咨询公司R10N Security的所有者Ryan McGeehan表示，凭证填充攻击导致数千账户沦陷并不罕见，但23andMe涉及的数据类型却非比寻常。

“问题在于23andMe既是社交平台又包含健康信息，“他解释道，“这两点都增加了数据暴露的风险，同时也提升了数据本身的价值。”

敏感数据

这家总部位于加利福尼亚的生物技术公司通过家庭DNA分析为用户提供有关其基因构成的信息。客户会收到邮寄的测试套件，并寄回唾液样本，23andMe通过分析这些样本来揭示关于血统、遗传特征、健康倾向以及他们是否是某些遗传病症潜在携带者的信息。

用户还可以选择加入DNA亲属功能，使他们能够找到并与23andMe数据库中的遗传亲属建立联系。他们还可以使用家谱工具向他们的个人资料和家庭成员添加信息。

通过10月发生的一次数据泄露，黑客访问了约550万份DNA亲属个人资料文件，其中包括位置、显示名称、关系标签以及与匹配者共享的DNA数据。攻击者还访问了140万拥有家谱个人资料的客户，这些资料包含的信息较少，但包括出生年份和地点等个人标识符。

斯坦福大学隐私和数据政策研究员珍妮弗·金表示，目前DNA对黑客来说没有明确的市场价值。“但考虑到它的独特性和不可替代性，如果我们认为它没有任何价值，那就太愚蠢了，”她说。“在某些情况下，你可能不会面临重大风险。但你可能会与某些面临风险的人有关联。”

网络安全咨询公司Hold Security的创始人亚历克斯·霍尔登表示，这种关于亲属和家庭关系的信息可能会被网络诈骗者利用，他们有时会假装是需要钱的家人。

密码保护措施

黑客开发了多种自动化工具，用于在新网站上测试窃取的密码。随后，他们会将有效的密码打包成数据库，在犯罪论坛上出售。这导致过去几年中，凭据填充攻击激增。这也促使许多公司采用新的认证技术，例如完全摒弃密码的通行密钥，以及多重身份验证——后者要求在进入账户前进行额外的身份确认。

McGeehan表示，尽管公司仍在使用密码，但这些新选项使安全性更高。“我们不必完全抛弃密码，但可以减少其暴露的机会，”他说。

如果你是23andMe的用户，首先要做的是立即更改密码，该公司正在提示所有用户这样做。

确保密码是独特且复杂的。如果你在多个账户上使用相同的密码，请立即停止！考虑使用密码管理器为每个网站存储独特的密码，以减少密码重复使用的风险。23andMe在11月6日的博客文章中表示，将在现有客户下次登录时自动为其启用双重认证。

该公司表示，如果发现客户的数据被未经授权访问，将直接通知客户。

联系Dalvin Brown，邮箱：[email protected]；联系Robert McMillan，邮箱：[email protected]

—欲了解更多《华尔街日报》科技分析、评论、建议及头条新闻，请订阅我们的每周通讯。

刊载于2023年12月7日印刷版，标题为《23andMe数据泄露事件揭示重复使用密码的风险》。