지난 금요일, 유전자 검사 회사인 23andMe는 해커들이 전체 고객 중 0.1%, 즉 약 14,000명의 개인 데이터에 직접 접근했다고 발표했습니다. 회사는 또한 해커들이 이 계정에 접근함으로써 "다른 사용자의 조상 프로필 정보가 포함된 다수의 파일"에도 접근할 수 있었다고 밝혔습니다. 그러나 23andMe는 회사가 10월 초에 처음 공개한 취약점으로 인해 얼마나 많은 "다른 사용자"가 영향을 받았는지 공개하지 않았습니다. 이번 데이터 유출로 인해 많은 "다른 사용자"가 피해를 입은 것으로 밝혀졌습니다. 총 690만 명이 영향을 받았습니다.
23andMe 대변인 Katie Watson은 토요일 늦게 TechCrunch에 보낸 이메일을 통해 해커들이 23andMe의 DNA 관련 조회 기능을 선택한 약 550만 명의 개인 정보에 접근할 수 있게 되었으며, 이를 통해 사용자는 자신의 데이터 중 일부를 다른 사람들과 자동으로 공유할 수 있게 되었습니다. 도난당한 데이터에는 개인 이름, 출생 연도, 관계 태그, 친척과 공유된 DNA 비율, 가계 보고서 및 자체 보고 위치가 포함되었습니다.
23andMe는 또한 DNARelatives를 선택한 약 140만 명의 또 다른 집단에 대해 이름, 관계 태그, 출생 연도, 자체 보고 위치 및 사용자가 자신의 정보를 공유하기로 결정했는지 여부가 포함된 "가계도 프로필 정보에도 액세스"했음을 확인했다고 대변인은 말했습니다. (23andMe에서는 이메일의 일부가 "배경 정보"이므로 양 당사자가 사전에 관련 조건에 동의해야 한다고 명시합니다.)
23andMe가 금요일에 데이터를 공개하지 않은 이유는 확실하지 않습니다. 새로 추가된 데이터를 고려하면, 데이터 침해는 실제로 23andMe의 전체 고객 1,400만 명 중 약 절반에게 영향을 미쳤습니다.
지난 10월 초, 한 해커가 유명 해커 포럼에 23andMe 사용자의 DNA 정보를 훔쳤다고 주장하는 글을 올렸습니다. 해킹의 증거로 해커는 유대인 아쉬케나지(Ashkenazi) 혈통 사용자 100만 명과 중국 사용자 10만 명에 대한 데이터를 공개하고 잠재적 구매자에게 개인 계정당 1~10달러에 데이터를 구매하도록 요청했습니다. 2주 후, 같은 해커는 같은 해커 포럼에 또 다른 400만 명의 기록을 공개했습니다.
나중에 또 다른 해커가 훔친 것으로 추정되는 23andMe 고객 데이터 일괄 처리에 대한 광고를 다른 해커 포럼에 게시했는데, 이는 널리 보도되기 두 달 전이었습니다.
몇 달 전 유출된 자료를 분석해 보면 아마추어나 계보학자들이 온라인에 올린 유전자 자료와 일치하는 기록을 찾는 것은 어렵지 않다. 두 정보 세트는 형식이 다르지만 동일한 고유 사용자 및 일반 데이터 중 일부를 포함하고 있어 해커가 유출한 데이터가 적어도 부분적으로는 실제 23andMe 고객 데이터임을 시사합니다.
23andMe는 올해 10월 사건을 공개하면서 고객이 비밀번호를 재사용함으로써 데이터 유출이 발생했으며 이로 인해 해커가 다른 회사의 데이터 유출에 노출된 비밀번호를 사용하여 피해자의 계정을 무차별 대입할 수 있었다고 밝혔습니다. DNARelatives 기능은 사용자를 친척과 연결하기 때문에 해커는 개인 계정을 손상시켜 계정 소유자와 친척의 개인 데이터를 볼 수 있으며 총 23andMe 피해자 수를 늘릴 수 있습니다.