23andMe: hackers hadden maandenlang toegang tot gegevens klanten

De commerciële dna-databank 23andMe heeft meer info gegeven over het datalek van eind vorig jaar. Volgens het bedrijf begonnen hackers in mei van vorig jaar met de aanvallen om gegevens van klanten te achterhalen. Die aanvallen duurden naar verluidt tot en met september.

23andMe heeft in een brief aan de procureur-generaal van de Amerikaanse staat Californië meer uitleg gegeven over het datalek. Het bestuur van de commerciële dna-databank schrijft daarin dat hackers vanaf mei van vorig jaar tot en met september een credential stuffing attack hebben uitgevoerd die gericht was op de gebruikers van 23andMe. Bij zo’n aanval maken hackers gebruik van gelekte gegevens van internetgebruikers om toegang te krijgen tot de accounts van diezelfde personen op andere platforms. Het is niet duidelijk of 23andMe tijdens deze periode verdachte activiteiten op zijn servers had waargenomen.

Uit eerdere berichtgeving blijkt dat de hackers informatie van ongeveer 14.000 klanten hebben kunnen buitmaken. Dat is ongeveer 0,1 procent van het klantenbestand van 23andMe. Het gaat dan om informatie over de stamboom, maar in sommige gevallen ook gezondheidsinformatie die gebaseerd is op de dna-analyse van de desbetreffende gebruikers. De hackers zouden ook informatie over aanverwante accounts hebben buitgemaakt.

23andMe is een Amerikaans bedrijf dat sinds 2006 een commerciële dna-databank beheert en klanten informatie kan geven over hun afkomst, uiterlijke kenmerken en risico op genetische aandoeningen. Klanten die gebruik willen maken van de diensten van 23andMe moeten in een buisje speeksel opsturen naar het bedrijf. In oktober van vorig jaar raakte bekend dat er een datalek had plaatsgevonden bij het bedrijf.

Reacties (114)

wildhagen

Beveiliging en antivirus
Datalek

28 januari 2024 11:44

Lekker dan. Goede security ook dat zoiets maandenlang onopgemerkt blijft...

Dan liggen van de slachtoffers nu dus potentieel gevoelige gezondheidsgegevens op straat. Die stamboom is allemaal zo interessant niet, maar die gezondheidsgegevens is toch wel kwalijk, to put it mildly.

Dat het 'maar' om 14.000 mensen gaat vind ik niet relevant, die 14.000 mensen zitten nu wel met de gebakken peren en de gevolgen van het feit dat hun info nu in foute handen is.

Denk dat de reputatie van dit bedrijf inmiddels nu zover gedaald is, dat het weinig aantrekkelijk meer lijkt om nog met ze in zee te gaan als potentiele klant, of eventueel partnerbedrijf...

djwice

@wildhagen • 28 januari 2024 13:21

Lees bijvoorbeeld .plan: Ddos-aanvallen op Bunq, Belastingdienst en Tweakers zelf: Takedown afl...
Over de 'Low and slow'-aanvallen.

De hacker heeft data van 0,1% van de 14 miljoen klanten weten te bemachtigen voordat dit werd tegengehouden.

Het kan zijn dat de hacker veel moeite heeft gedaan om de aanval op normaal verkeer te laten lijken. En dus maar heel af en toe (relatief gezien) een aanvals request deed, welke bovendien op normaal verkeer leek.

Met een lange adem haal je ook data binnen.

[Reactie gewijzigd door djwice op 23 juli 2024 02:30]

LightlessFilms @wildhagen • 28 januari 2024 11:56

Opzich is de stamboom wel interessant voor bijvoorbeeld verzekeringsmaatschappijen.
Zij kunnen dan zien welke ziekte er in de familie zit en zo kunnen weigeren wanneer men zich wil aansluiten.

TheekAzzaBreek @LightlessFilms • 28 januari 2024 12:08

En als bekend wordt dat je dit soort data van hackers koopt kan je op z'n best de tent sluiten.

Tim AtSharp @TheekAzzaBreek • 28 januari 2024 12:29

- het hangt er vanaf wat er op het spel staat (lees: hoeveel en wiens geld betrokken is) of je omwille van zoeits je tent kan sluiten
- het hangt er vanaf wie ´het gedaan heeft´ of zulks publiek gemaakt wordt ooit

en dan nog: het kwaad is dan al lang geschied natuurlijk.

Aldy @Tim AtSharp • 28 januari 2024 13:36

Je hebt gelijk dat het kwaad geschied is, maar de boete is niet mild in VS. Dus grote kans dat je de tent kunt sluiten en dan zijn er nog meer gedupeerden. Plus dat de verantwoordelijke persoon ook nog de gevangenis in kan draaien.

kodak

Datalek
Beveiliging en antivirus

@Tim AtSharp • 28 januari 2024 14:29

Het kwaad is al geschied is geen argument. Als het al niet hoorde te lekken is gebruik daaruit voor onbevoegden dus ook niet de bedoeling. Eerder juist wettelijk verwerpelijk. Lekken op zich is al verkeerd, maar lekken accepteren met de intentie er gebruik van te maken is juist helemaal niet de bedoeling. Terwijl de suggestie wekken dat lekken onder omstandigheden maar redelijk is ook tegenstrijdig met de wet is. Ook doen alsof er spontaan bevoegdheid ontstaat door opportunistisch de wet te negeren is niet de bedoeling. Het toont eerder aan dat een bedrijf niet in staat is bevoegd te handelen.

echtwaar? @kodak • 29 januari 2024 12:12

Ag als voor de belastingdienst een uitzondering is gemaakt waarom dan niet voor verzekeraars

kuurtjes @TheekAzzaBreek • 29 januari 2024 03:11

Zolang mensen niet voor de daden van hun bedrijf opdraaien gaan ze gewoon andere bedrijven opzetten die dit soort data zouden kunnen behandelen.

cariolive23 @kuurtjes • 29 januari 2024 06:03

Wanneer jij als directeur een contract tekent met een bedrijf, en dat bedrijf levert jou gestolen data, dan heb jij als directeur toch wel een probleem. Zeker omdat dit soort data eigenlijk alleen interessant is voor de grotere verzekeringsmaatschappijen, want daar is de kans groter dat zij klanten hebben in die groep van 14.000 slachtoffers. Daar kun je zomaar een paar jaar de gevangenis voor in gaan, wat zeker in de USA geen 5-sterren hotel is.

Je moet wel heel wanhopig zijn, om te denken dat je met deze data goud geld gaat verdienen voor jouw bedrijf/werkgever.

surfin @cariolive23 • 29 januari 2024 07:51

In de VS: Ja.
In NL: nee.

BCC @TheekAzzaBreek • 29 januari 2024 08:41

In Amerika gaat denk ik je aandeel flink omhoog juist.

theduke1989 @LightlessFilms • 28 januari 2024 15:09

Maar hoe wilt een verzekeringsmaatschappij dit doen dan?

Koopt die specifiek dit in dan. Zou dan toch even van verzekering wisselen.

[Remmes] @theduke1989 • 28 januari 2024 19:34

Het is geloof ik al jaren lang bekend dat US verzekeringsmaatschappijen data kopen van allerlei bedrijven, dit kan wellicht wel op een of andere manier bij hen komen als ze dat echt willen.

Darkstriker @[Remmes] • 28 januari 2024 20:19

Denk dat men tussen data kopen van legitieme bedrijven (hoezeer je hub businessmodel ook mag hekelen) en criminelen toch echt een verschil moet maken.

FatGoebbelsIM @[Remmes] • 28 januari 2024 21:05

Klopt, databrokers. Data is het nieuwe goud.
In de EU is het een redelijk nieuw fenomeen, maar in de US wordt data al jarenlang verhandeld.
Waar de data vandaan komt is niet belangrijk, maar de gegevens moeten wel kloppen.
Het is net als A.I., in het begin wordt'r weinig gebruikt van gemaakt, maar als men eenmaal doorkrijgt hoeveel inzicht men kan krijgen over wie dan ook, dan schiet men opeen wakker.
Alle grote bedrijven azen nu erop.
Data is het nieuwe goud, iedereen wil het.

Iemands identiteit overnemen; check.
Iemands gezondheids gegevens in handen krijgen (bvb levensverzekeringen); check.
Iemands menstruatie cyclus (via bvb een tracking app); check
Vooral de rechtse staten in de US (waar vrouwen een groot deel vh rechten kwijt zijn) omdat oude, vieze (vooral evangelische) mannetjes terug in de tijd willen, waar zij het voor het zeggen hebben.

We hebben nu 2 soorten taliban;
De bruine in Afghanistan en
de witte in de US.
Precies hetzelfde; mannen bepalen wat'r gebeurd, "hun" geloofsboek is heilig, terwijl ze met'n dodelijk wapen wuiven. Totaal geen rationaliteit, geen kennis om een goede waardeoordeel te maken en opkijkend naar een valse leider die ze dan letterlijk op elk (gelogen) woord geloven.

Maar goed, we hadden het over data brokers;
Ze verzamelen data via verschillende bronnen door oa (kop vh Tweakers artikel)
- Hacks
- Sociale media
- Internet searches
- Toetsaanslagen
- Likes
- Online enquetes
- Verschillende topics op oa foras
- Databanken
eetc, etc, etc ...

litebyte @[Remmes] • 28 januari 2024 21:34

Het is ook al jaren bekend dat gemeentes in Nederland (via data research bedrijven) data indirect inkopen. Bijv. voor verkeersonderzoeken, maar dat kan natuurlijk voor veel meer zaken zijn, en niet alleen bij lokale overheden.

cariolive23 @[Remmes] • 29 januari 2024 06:11

Het is geloof ik al jaren lang bekend

Het zou dus zo maar eens kunnen dat heel misschien iets wel eens waar zou kunnen zijn...

Zeg dan niks wanneer je niks weet. Het kopen van data is overigens heel normaal en niet verboden. Handel in gestolen of illegaal verkregen data is dat wel, en kan dodelijk zijn voor bedrijven. En de verantwoordelijke medewerkers/directeuren persoonlijk aanzienlijke straffen opleveren. Kenneth Lay (Enron) wilden ze voor 24 jaar opsluiten en 630 miljoen USD laten betalen.

Die straf heeft hij echter niet gekregen, hij ging voortijdig dood.

k995 @wildhagen • 28 januari 2024 12:14

Wat zal er dan negatief voor die gebruikers gebeuren denk je?

Darkstriker @k995 • 28 januari 2024 20:34

Kun je niet op komen?
In de VS heeft dit potentieel enorme invloed op je ziektekostenverzekering. Daar krijg je dan bepaalde polissen niet meer en andere polissen kunnen veel duurder uitvallen. Het is al lastig genoeg daar om aan goede verzekering te komen. Zeker als je ooit al eens iets is overkomen.

Andere bedrijven zouden dit kunnen gebruiken om bijvoorbeeld gericht alcohol/drugs of geluksspellen aan mensen te verkopen die daar bijzonder kwetsbaar voor zijn.

We komen ook in een steeds gepolariseerde wereld terecht met steeds meer oorlogen en sektarisch geweld. 80 jaar geleden werden mensen opgepakt, tot slaaf gemaakt en vermoord omdat ze joods waren. En zo zijn en nog wel een paar genocides geweest sindsdien. Met deze data zijn mensen van bepaalde afstamming makkelijker te identificeren.

En hoewel biologische en chemische wapens door allerlei verdragen zijn verboden maakt het ze natuurlijk niet onmogelijk. Het is nog maar een kwestie van tijd voordat we wetenschappelijk in staat zijn om die wapen af te stellen op families en misschien wel individuen.

Een ander ding dat steeds verder vooruit gaat is biometrische authenticatie. Als je DNA te grabbel ligt op straat, heb je over een paar jaar mogelijk daarmee problemen.

Ook stambomen hebben nogal wat informatiewaarde. Voor Jan en alleman doet het er misschien niet zo toe, maar voor beroemde en/of rijke mensen onder ons is er met de informatie over je relatie tot je omgeving ook nog best een risico.

Met die informatie kun je straks misschien bewijzen voor misdaden faken. DNA staat toch erg hoog in het vaandel bij politieonderzoeken. Zit je erop te wachten dat je op een dag wordt opgesloten voor een verkrachting/moord met die je niks te maken hebt omdat iemand er met jou DNA heeft zitten rommelen?

k995 @Darkstriker • 28 januari 2024 22:56

We zijn niet in de vs en je dna ligt niet op straat. Die gegevens bevatten dat niet.

Dus wat schiet er over voor hier? Nederland of België? Juist niks.

Tweddy @wildhagen • 28 januari 2024 12:24

Het is DNA, geen medisch dossier.

NeverSettle @Tweddy • 28 januari 2024 18:16

DNA gegevens kunnen in handen komen van zorgverzekeraars. Welke medicaties en behandelingen dan wel vergoed worden kan dan zomaar veranderen.

Bij patiënten die kanker hebben gehad kunnen hogere premie verwachten of zelfs geweigerd worden. Maar dat laatste gebeurt gelukkig niet vaak.

Tweddy @NeverSettle • 28 januari 2024 23:41

Zorgverzekeraars kunnen en mogen niets met het dna van hun klanten.

Dalyxia @Tweddy • 29 januari 2024 00:46

Nu nog niet, maar in de toekomst mogelijk wel, je weet niet wat voor een regering er gekozen zit over een paar jaar. Dat is een groot gevaar van het oneindige van data.

Mogelijk gaat het niet om "zorgverzekeraards mogen niets met die data doen" totdat er een subtiel systeem komt met "je levert je eigen data aan en je krijgt daarmee korting" naar "zonder die data in te leveren betaal je 100% meer" naar een toeslagenaffaire achtige situatie waarin mensen zo ineens meer voor hun verzekring moeten betalen of "zonder uitleg" geweigerd worden.

Het is een naar mijn idee realistische glijdende schaal die je niet moet wil hebben.

Tweddy @Dalyxia • 29 januari 2024 09:26

Dat kan inderdaad zijn en ik vrees dat het misschien wel die kant op zou kunnen gaan, maar op illegale wijze verkregen persoonlijke/medische gegevens gebruiken zaln altijd strafbaar blijven, het zal altijd op vrijwillige basis zijn. Zo'n hack is in dat opzicht dus vrij onschuldig.

theobril @NeverSettle • 28 januari 2024 18:43

" Welke medicaties en behandelingen dan wel vergoed worden kan dan zomaar veranderen." Kun je deze uitleggen aan een leek: iemand weigeren omdat je vermoedt (op basis van gegevens die je niet zou mogen gebruiken, maar dat terzijde) kan ik mijn nog iets bij voorstellen, maar op grond van een grotere kans op een bepaalde ziekte iemand een behandeling niet meer vergoeden, hoe werkt dat? Je kunt bij iemand die ziek is, moelijke zeggen: u heeft er aanleg voor dus we vergoeden niet. Dan zou ik nog eerder iets aan de voorkant verwachten: we willen u best gaan verzekeren, onder voorwaarde dat als u aan X gaat lijden, dan gaan we niet betalen, take it or leave it.

divvid @theobril • 28 januari 2024 21:52

En dan nog, in het onderzoek naar 100jarigen zijn mutaties gevonden doe bekend zijn tot Duchenne(=dodelijk op vrij jonge leeftijd ) te leiden. Toch hadden die 100jarigen dat niet omdat er ergens, we weten niet waar of wat, een beschermende factor zit (wisten we het maar)

Dna gegevens zijn nooit!! leidend voor het al dan niet krijgen van een bepaalde ziekte.

Overigens hebben wij allemaal een paar 1000 potentieel problematische varianten en zouden verzekeraars zichzelf te gronde richten als ze daar allemaal rekening mee gingen houden want niemand komt dan nog in aanmerking voor een verzekering

Dalyxia @divvid • 29 januari 2024 00:47

Jawel, je komt dan in aanmerking voor die ene speciale verzekering die toevallig heel duur en je bent verplicht om een zorgverzekering te nemen.

divvid @Dalyxia • 29 januari 2024 07:09

Gelukkig zijn wij in NL gezegend met een basis pakket tegen een redelijke prijs.

IStealYourGun @Tweddy • 28 januari 2024 15:24

In België zijn dat wel medische gegevens, daarom dat deze dienst normaal verbonden is. Enkel een arts mag deze gegevens met jou bespreken.

Tweddy @IStealYourGun • 28 januari 2024 18:14

Het zijn jouw gegevens, jij mag er doen wat je wil en bespreken met iedereen.
Is je dna profiel uitzoeken verboden in België?

[Reactie gewijzigd door Tweddy op 23 juli 2024 02:30]

M3m3nt0m0r1 @wildhagen • 28 januari 2024 16:03

Cisco apparatuur word ook nog steeds verkocht. Zelfde geldt voor Teamviewer/Solarwinds/...
Dus ik denk dat dat wel mee zal vallen.

telenut @wildhagen • 28 januari 2024 19:47

hoe zou je zo iets kunnen opmerken dan? Als men kan inloggen met gegevens die publiek op het internet staan... Die 14000 slachtoffers hebben het zelf gezocht door geen uniek wachtwoord te gebruiken. De grootste slachtoffers zijn de aanverwanten die er ook in zitten.

franssie @wildhagen • 28 januari 2024 22:32

Verwantschap is ook iets, doe je nu een test, en dan kan iets dat nu niet strafbaar is je nageslacht over 40 jaar in de cel brengen. DNA is een tijdbom zonder ontsteker.

RobWu @wildhagen • 29 januari 2024 12:21

"Die stamboom is allemaal zo interessant niet,...."

Tenzij je tot een bevolkingsgroep behoort, die hierdoor mogelijk een makkelijker "doelwit" wordt.
b.v. bij aandoeningen die alleen in bepaalde groepen voorkomen. Handig om dan gelijk de hele familie 'in kaart' te hebben.
Of als je behoort tot een 'impopulaire' bevolkingsgroep, is het wellicht niet zo heel handig om op deze manier de hele DNA/stamboom in te kunnen zien.

Ik denk dat je er wat te makkelijk tegenaan kijkt.

PikachuNL @RobWu • 29 januari 2024 13:28

Ik had gelezen dat (een deel van) de hackers ook lijst had gepubliceerd met namen die mogelijk een joodse of Chinese afkomst hadden.

bron
bron

Argantonis @wildhagen • 30 januari 2024 05:04

Je hebt ook gelezen dat het om credential stuffing gaat hé? Dus mensen die dezelfde username en password ergens anders gebruiken waarbij dat op straat is komen liggen, en deze groep daarmee dus voor een bepaald aantal mensen in heeft kunnen loggen bij 23andme. Met andere woorden, er was geen echt lek van henzelf, ze hebben alleen niet opgemerkt dat het verder normale verkeer niet van de echte gebruikers kwam.

KoudeAardbei 28 januari 2024 11:42

Dit is 1 van de redenen waarom ik nooit mijn DNA zou afstaan aan een DNA-databank

eheijnen @KoudeAardbei • 28 januari 2024 11:59

Of..weer een reden om voorzichtig om te gaan met privé informatie en niet alles zomaar in de cloud te "pleuren".

Ook al heb je niets te verbergen...

[Reactie gewijzigd door eheijnen op 23 juli 2024 02:30]

wildhagen

Beveiliging en antivirus
Datalek

@eheijnen • 28 januari 2024 12:18

De cloud heeft hier op zich weinig mee te maken. Zo'n data-breach kan ook gebeuren in een on-premise omgeving natuurlijk.

Voor de rest heb je natuurlijk wel gelijk, mensen moeten voorzichtiger zijn met hun gegevens, zeker met gevoelige (medische) gegevens zoals DNA etc.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@wildhagen • 28 januari 2024 14:58

On prem of cloud is in deze alleen interessant voor de beherende partij. Zo lang je remote kan inloggen en remote kwetsbaarheden kan uitbuiten is er voor de gebruiker van de dienst geen verschil. Cloud of on-prem (wat alleen on-prem voor de aanbieder is) zegt slechts iets over waar de servers / data gehost staat.

FrankHe

@eheijnen • 28 januari 2024 13:21

De Cloud: "just someone else's computer", is niet per definitie onveiliger dan zelf je omgeving hosten. In beide gevallen moet je goed nadenken over de beveiliging van je systemen, aan de voorkant en aan de achterkant.

Waar mensen werken worden fouten gemaakt en met goede procedures zou men in staat moeten zijn om een eventuele fout vroegtijdig vast te stellen en tijdig te repareren. Datalekken komen frequent voor en zijn lang niet altijd het werk van inbraken door externe partijen. Geregeld is de beveiliging dusdanig slecht of zelfs geheel afwezig dat het eigenlijk geen kunst is om gevoelige data te benaderen. Dat is uiteraard een zeer kwalijke zaak.

Iedere omgeving kost geld, of je nu zelf de hardware hebt staan of dat je gebruik maakt van iets waar het labeltje Cloud op zit geplakt. Voor niets gaat de zon op, ze kosten beide geld. 'De Cloud' is niet 'gratis'.

Danny Phantom @KoudeAardbei • 28 januari 2024 12:11

Helpt helaas weinig wanneer de rest van je familie het wel doet...

Jeanpaul145 @Danny Phantom • 28 januari 2024 13:00

Dat is ook waarom het onethisch is voor iemand om zoiets te doen zonder goedkeuring van tenminste zijn/haar naaste familie, en als er kinderen zijn, van hun partner: het gaat niet alleen om gevoelige data van de persoon zelf, maar óók van die naaste familieleden.
En in tegenstelling tot bv een gelekt wachtwoord, waar je een andere kan instellen, zijn de gevolgen van een lek van zulke informatie permanent.

[Reactie gewijzigd door Jeanpaul145 op 23 juli 2024 02:30]

M!chiel

@Jeanpaul145 • 28 januari 2024 13:07

Bedenk wel dat een deel van de mensen die met een DNA databank in zee gaan hun DNA afstaan omdat ze niet weten wie hun familie is. Bijvoorbeeld geadopteerden of mensen die met kunstmatige inseminatie zijn verwekt. Zij staan voor een lastig dilemma: in zee gaan met een DNA-bank of onwetend blijven.

mark-k @M!chiel • 28 januari 2024 13:10

Dat is 23andMe absoluut niet, die hele database is een gimmick om te zien wat voor "rassen" er in je DNA zitten, vaak zeer overtrokken en totaal niet accuraat. 23andMe is complete onzin die gestaafd is op het verzamelen van data over mensen ipv iets nuttigs.

M!chiel

@mark-k • 28 januari 2024 13:15

Van hun website: DNA Relative Finder
Connect with relatives, known and new, near and far, when you opt in to DNA Relatives. Compare ancestries and traits, then send messages to relatives directly to better understand your family connections.

Aldy @M!chiel • 28 januari 2024 13:33

Klinkt leuk, maar ze kunnen alleen gebruik maken van het DNA, dat al in hun systeem voorkomt.

Renoir @Aldy • 29 januari 2024 02:04

Klopt, maar kan toch wat opleveren. Vriendin van me geeft net haar biologische vader en 16(!) half broers/zussen ontmoet. Hebben elkaar allemaal via een dergelijk platform gevonden.

mark-k @M!chiel • 28 januari 2024 13:46

Ja een opt-in op een betaalde gimmick database, dus dan moet je al hopen dat A die donor daar zijn DNA heeft achtergelaten, en B hij meedoet aan de opt-in. Met een donor die anoniem wil blijven is die kans nihil, en een donor die dat niet wil blijven heb je simpelere methoden voor.

M!chiel

@mark-k • 28 januari 2024 15:23

...of een door familielid van de donor of de afstandsouders.

AOC @mark-k • 28 januari 2024 15:36

South Park heeft hier ook een aflevering/sketch aan besteed

https://m.youtube.com/wat...GhwYWVrIGRuYSBhbmQgbWU%3D

[Reactie gewijzigd door AOC op 23 juli 2024 02:30]

divvid @mark-k • 28 januari 2024 21:57

Op basis van een whole genome sequencing analyse kan je vrij goed inschatten waar jouw DNA vandaan komt. Gewoon open source en binnen 10 minuten te bepalen. 23andme heeft die data overigens niet compleet

masterfragger @divvid • 29 januari 2024 09:17

Interessant. Kun je daar wat meer over vertellen?

cariolive23 @mark-k • 29 januari 2024 05:57

Je presenteert het nu als een mening, en die hebben we allemaal wel. Heb je ook feiten die we elders kunnen valideren, die jouw mening ondersteunen?

kodak

Datalek
Beveiliging en antivirus

@M!chiel • 28 januari 2024 13:27

Het dilemma lijkt me dan in zee gaan met een bedrijf dat voor jou en anderen niet zomaar wettelijk vereiste bescherming over biometrische gegevens geeft of niet via die weg proberen zekerheid te krijgen.

Weten wat je afkomst is via dit soort bedrijven staat alleen niet zomaar boven de wet. Dus hoe vervelend het voor een persoon of bedrijf ook is, de enige redelijkheid is overduidelijk voorkomen en moeite doen dat je als persoon en bedrijf anderen ongevraagd rechten misgund. In dit geval dus keiharde eisen stellen en naleving kunnen en doen controleren. Zoals heel strikt zijn wanneer en hoe lang de gegevens verwerkt worden, en zelf moeite doen. Wanneer beide partijen dat niet overduidelijk doen, zoals door maar op te blijven slaan en ook andere doelen en risico's ongevraagd voor anderen accepteren, dan is het gebruik niet snel ethisch of zelfs wettelijk redelijk. Eerder opzettelijk anderen in de problemen storten alsof dat redelijke schade is.

[Reactie gewijzigd door kodak op 23 juli 2024 02:30]

Borgia @KoudeAardbei • 28 januari 2024 12:53

Maar je gebruikt wel tientallen andere diensten waar dit ook bij kan gebeuren.

555Henny555 28 januari 2024 12:04

Waarom ligt hier de fout bij 23andMe? Diezelfde credentials zijn toch ook gebruikt bij anders websites waar ze hoogstwaarschijnlijk ook toegang tot gekregen hebben?

Vind het maar een beetje flauw om de schuld dan op hen te steken ipv het 'slachtoffer' dat een wachtwoord op meerdere websites hergebruikt en dan nog niet eens 2FA aanzetten bij zo'n website. Aandacht moet gaan naar hoe mensen zo onveilig op het internet zitten (oorzaak) ipv een specifiek bedrijf waar ze zijn binnengeraakt (symptoom)

Enige wat 23andMe beter had kunnen doen was een verplichte 2FA (én heel misschien een password policy die je forceert om een passwordmanager te gebruiken zoals minimumlengte: 100 karakters).

Blokker_1999

Datalek
Beveiliging en antivirus

@555Henny555 • 28 januari 2024 12:27

23andMe is mede schuldig omdat ze niet hebben opgemerkt dat deze aanval bezig was en omdat MFA geen verplichting was ondanks dat er dus zeer gevoelige informatie van mensen wordt bewaard op dat platform.

M3m3nt0m0r1 @Blokker_1999 • 28 januari 2024 16:09

MFA is zeker goed, maar niet zaligmakend: https://abnormalsecurity.com/blog/attackers-bypassing-mfa
Dus de statement dat het eenvoudig voorkomen had kunnen worden is niet waar.

telenut @Blokker_1999 • 28 januari 2024 19:50

en hoe kunnen ze volgens u zo een aanval herkennen?

3raser @telenut • 29 januari 2024 10:51

Dit is afhankelijk van hoe de aanval verliep. Als het een trage aanval is met een groot botnet dan wordt het heel erg lastig om dit te detecteren. Stel dat de aanvaller 1.000 IP adressen tot zijn beschikking had, dan kan hij dagelijks bijvoorbeeld 100 accounts misbruiken en pas na 10 dagen hetzelfde IP adres hergebruiken. Dan heb je na 5 maanden wel zo'n 14.000 accounts gehad.

De beheerder zou dan de logbestanden moeten scannen op basis van IP adres en de gebruikte accountinformatie. Logt 1 IP adres in op meerdere accounts dan zou dat als "veracht" moeten worden beschouwd.

Uiteindelijk had deze aanval vooral voorkomen kunnen worden door Two Factor Authentication te gebruiken. Het hergebruiken van wachtwoorden was ook een domme fout die helaas te vaak voor komt. De schuld ligt dus zeker niet alleen bij 23andMe voor zover ik kan beoordelen.

ibmpc @555Henny555 • 28 januari 2024 12:29

Hoewel lange en simpele wachtwoorden het veiligst zijn, lijkt mij 100 karakters een beetje veel van het goede. 15 Karakters is een goed begin, omdat je daarmee zeker weet dat er geen LM hash wordt opgeslagen. Als je nu nog niet aan MFA bent begonnen, kun je overwegen om de implementatie van MFA over te slaan en om gewoon meteen phishing resistant aan te bieden.

The Zep Man

Beveiliging en antivirus
Datalek

@ibmpc • 28 januari 2024 12:36

15 Karakters is een goed begin, omdat je daarmee zeker weet dat er geen LM hash wordt opgeslagen.

password = String.sub(user_input_password, 0, 14)

En weer door...

Gebruik gewoon een wachtwoordbeheerder, e-mail aliassen en willekeurige lange wachtwoorden. Dan verlies je niets als er wat uitlekt.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:30]

Aldy @The Zep Man • 28 januari 2024 13:40

Maar, geef toe, 100 karakters is toch wel een beetje overdreven.

M3m3nt0m0r1 @Aldy • 28 januari 2024 16:09

Waarom?

Aldy @M3m3nt0m0r1 • 28 januari 2024 16:14

!nmhTeaThyWC7&L4DT6ui6NA39nSChSeongUkGGn3Z3VY^rse&9Bq$C*goD!TYG8Lyz%uQKVvesMA&dCdXgGS*p7uy#J*eH39#ZH

The Zep Man

Beveiliging en antivirus
Datalek

@Aldy • 28 januari 2024 16:37

Ik lees nog steeds geen reden. Laat een wachtwoordbeheerder het wachtwoord beheren, en het maakt niet dat het bijzonder lang is zolang de website maar de lengte accepteert.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:30]

Aldy @The Zep Man • 28 januari 2024 16:52

Mijn wachtwoordbeheerder heeft dit wachtwoord gegenereerd, dus dat is het probleem niet, maar je legt precies de vinger op de gevoelige plek. Als een site alleen maar wachtwoorden accepteert van minimaal 100 karakters, dan wordt de database wel heel erg groot. Daarnaast zijn er veel betere methoden om de beveiliging op te schroeven, zoals 2FA bijvoorbeeld.
Ik denk dat wachtwoorden van minimaal 20 karakters, eventueel aangevuld met 2FA op dit moment volstaat. Tegen die tijd dat er apparatuur op de markt is dat deze hoeveelheid wel in een korte tijd kraakt, dan maakt het niet meer uit, uit hoeveel karakters je wachtwoord bestaat, want dan is elke lengte te kort.

Junketsu @Aldy • 28 januari 2024 17:17

Waarom nemen langere wachtwoorden meer ruimte in?

telenut @Junketsu • 28 januari 2024 19:51

terechte opmerking :-)

divvid @Aldy • 28 januari 2024 22:00

Max 1TB voor heel de wereld bevolking groot? Nahhh

555Henny555 @Aldy • 29 januari 2024 10:58

Een hashing algoritme zorgt ervoor dat na hashing van een plain password ongeacht van de lengte, deze altijd even lang is (zodat ook niet uit de hash kan afgeleid worden hoe lang het wachtwoord is.)

Bijvoorbeeld voor sha265 is de lengte altijd 256 bits. Aangezien dit hexadecimaal wordt opgeslagen is 4 bits genoeg per karakter, maakt dat 265 bits -> 64hex karakters is. Lengte is dus steeds 64 karakters.

Wachtwoord: 123Hallo (a844ea5c047c4b61896a24dcd2f27bcb086c2eddc8b93fda38fb8830883781c9) en jouw 100 karakter password (d2189f1a80624af14d6f1ac775ea958b31232f9d1631ade75f6eb0d4f4861db7) zijn even groot in terms of opslag in DB.

Aldy @555Henny555 • 29 januari 2024 14:10

Duidelijk, ook @Junketsu en @divvid . Blijft alleen nog over waarom je lange wachtwoorden zal gebruiken als er betere en meer toekomstbestendige alternatieven zijn.

Edit: de andere personen kwamen er niet uit.

[Reactie gewijzigd door Aldy op 23 juli 2024 02:30]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ibmpc • 28 januari 2024 15:06

15 Karakters is een goed begin, omdat je daarmee zeker weet dat er geen LM hash wordt opgeslagen.

Daarover heb je geen enkele garantie. Het is natuurlijk eenvoudig (maar niet slim) een subset van een wachtwoord te pakken. Helaas zijn er implementaties die dit soort worst practice fixes toepassen.

Hardfreak @555Henny555 • 28 januari 2024 12:30

Het feit dat er maanden aan een stuk een password stuffing aanval bezig was en niemand dat gemerkt heeft is wel bijzonder. Voor onze webshops hebben we een simple Lambda@Edge op onze login-urls staan waarmee we bijhouden hoeveel foutieve login pogingen er zijn van één bepaald IP. Bij teveel pogingen wordt jij voor een bepaalde periode geblokkeerd op de WAF.

Een tijd geleden hebben we boel nog wat verder aangescherpt en blokkeren we nu je hele subnet omdat we vaak merkten dat hackers gewoon de volgende server in hun subnet inschakelden en zo weer verder konden gaan.

Natuurlijk kan je dit omzeilen door héél veel IP adressen te gebruiken (10K+) en het gewoon héél traag te proberen, maar zelfs dan gaan er alarmen bij ons af en zien we wel wat we dan doen.

Olaf van der Spek @Hardfreak • 28 januari 2024 12:37

en blokkeren we nu je hele subnet

Dus als mijn subnet buurman stout bezig is (of een slecht geheugen heeft) kan niemand op het subnet meer inloggen? Lijkt mij dan weer een DoS risico.

Hardfreak @Olaf van der Spek • 28 januari 2024 12:43

Jup, absoluut

.

De regels waren een tijdje heel streng en we hadden zo één iemand bij een ministerie zitten die zijn wachtwoord echt niet kon terugvinden en die triggerde soms die beveiliging.

Nu, het is een risico maar dat nemen we er dan maar bij. Je moet al een botnet hebben met IP's in de landen waar we operationeel zijn en het is nu niet dat we niet ff snel die Lambda kunnen aanpassen naar een /32 subnet.

//edit: ik heb trouwens liever een DoS aanval dan dat ik moet gaan uitleggen waarom er klantgegevens gestolen zijn. Een DoS kost heel ff centjes, een datalek is imagoschade die ik niet op mijn rekening wil hebben staan.

[Reactie gewijzigd door Hardfreak op 23 juli 2024 02:30]

The Zep Man

Beveiliging en antivirus
Datalek

@Hardfreak • 28 januari 2024 12:33

Een tijd geleden hebben we boel nog wat verder aangescherpt en blokkeren we nu je hele subnet omdat we vaak merkten dat hackers gewoon de volgende server in hun subnet inschakelden en zo weer verder konden gaan.

Met IPv6 zal je wel moeten, omdat een enkele internetverbinding soms een heel /48-subnet beschikbaar heeft qua adressen.

Hardfreak @The Zep Man • 28 januari 2024 12:39

Het is ondertussen al weer even geleden dat ik heb moeten kijken, maar in het verleden kwamen de meeste aanvallen gewoon van IPv4 adressen.
In sommige gevallen kon je zien dat ze op voorhand aan het proberen waren hoe ver ze het konden pushen en werden de aanvallen steeds groter en groter.

Onze webshops zijn niet zo groot en ons team is ... klein. Toch slagen wij erin zo'n dingen te zien en de nodige mitigations in te bouwen. Beetje jammer om te zien dat grotere bedrijven de bal dan misslaan.

Nystran 28 januari 2024 11:58

Let op: het gaat hier om een zgn credential stuffing attack, oftewel: slachtoffers hebruikten hun wachtwoord op meerdere plekken. Dit kan niet, of erg lastig, voorkomen worden door traditionele technische maatregelen.

Eigenlijk de enige oplossing die ik zie, is in beleid: Ze hadden meerfactor-authenticatie moeten inschakelen. Eigenlijk best kwalijk, het gaat om medische gegevens, ook al doen ze alsof het een leuk speeltje met een stamboom is.

Blokker_1999

Datalek
Beveiliging en antivirus

@Nystran • 28 januari 2024 12:26

Dat kan net heel eenvoudig voorkomen worden met MFA. Het is net ongelooflijk dat een website met zulks een gevoelige informatie het gebruik van MFA niet verplicht heeft gesteld aan de gebruikers.

M3m3nt0m0r1 @Blokker_1999 • 28 januari 2024 16:08

MFA is zeker goed, maar niet zaligmakend: https://abnormalsecurity.com/blog/attackers-bypassing-mfa
Dus de statement dat het eenvoudig voorkomen had kunnen worden klopt niet.

Cyb @Nystran • 28 januari 2024 12:13

Naast MFA kan ook bijdragen: captcha's, inlogvertragingen, IP reputatie, password hash checks, educatie van gebruikers.
In NL bestaan trouwens ook nog financiele banken die gebruikers zonder MFA laten inloggen.

ibmpc @Cyb • 28 januari 2024 12:33

MFA is toch een impliciete verplichting vanuit de GDPR?

wildhagen

Beveiliging en antivirus
Datalek

@ibmpc • 28 januari 2024 12:37

Volgens mij wel, maar in dit geval niet van belang. GDPR is een Europese regel, terwijl het hier om een Amerikaans bedrijf gaat. Die hebben dus eigen regelgeving, en de regelgeving in de VS gaat helaas vaak aanzienlijk minder ver op dit vlak dan in Europa.

ibmpc @wildhagen • 28 januari 2024 17:44

Het ging mij specifiek hierom:

In NL bestaan trouwens ook nog financiele banken die gebruikers zonder MFA laten inloggen.

Ik was altijd in de verondersteling dat MFA impliciet verplicht is voor Nederlandse banken. Dus niet dat specifiek MFA verplicht is, maar wel goede beveiliging, waardoor MFA dus eigenlijk wel verplicht is. Mijn Amerikaanse bankrekening heeft geen MFA mogelijkheden, maar "helaas" vergoeden die gewoon alles wat gephisht wordt. Helaas, omdat op die manier niemand het belang van goede beveiliging leert.

[Reactie gewijzigd door ibmpc op 23 juli 2024 02:30]

M3m3nt0m0r1 @ibmpc • 28 januari 2024 16:06

Nee. Het word aangeraden. Meer niet.
https://doubleoctopus.com...ta-protection-regulation/

DavidZnay 28 januari 2024 12:07

Zo langzamerhand begin ik me af te vragen of we überhaupt nog online databases met gevoelige en herleidbare persoonsgegevens moeten hebben. Het lijkt steeds een kwestie van tijd dat het op straat komt te liggen.

k995 @DavidZnay • 28 januari 2024 12:18

Het zijn individueele users die herbruikte wachtwoorden gebruikte waar ze van binnen geraakt zijn, niet de database zelf.

DavidZnay @k995 • 28 januari 2024 13:00

Dat is precies het probleem - 100% veiligheid kan niet - maar het gebeurt zo regelmatig dat databases op straat komen dat je er bijna vanuit moet gaan dat het vroeg of laat een keer uitlekt. Het feit dat vrijwel iedereen wel in zo'n combolist met wachtwoorden staat is daar nou net een voorbeeld van.

k995 @DavidZnay • 28 januari 2024 13:37

maar het gebeurt zo regelmatig dat databases op straat komen

Nogmaals: dit is niet het geval hier.

DavidZnay @k995 • 28 januari 2024 15:22

Dat is ook niet mijn punt. Het rammelt qua privacy. Of dat nou is omdat ze een aanval met een combolist niet weten af te vangen, geen 2FA hebben, nalatigheid van medewerkers of er weer eens één of andere SQL-injectie mogelijk is.. Het resultaat is hetzelfde: gegevens op straat. Hoeveel en van wie is een detail. Blijkbaar is het vrijwel niet tegen te houden dat gevoelige gegevens vroeg of laat op straat komen als ze online staan.

[Reactie gewijzigd door DavidZnay op 23 juli 2024 02:30]

k995 @DavidZnay • 28 januari 2024 15:50

Zolang gegevens online staan is dat onvermijdelijk.

ibmpc 28 januari 2024 12:10

Is credential stuffing dan nog mogelijk? Met Conditional Access kun je phishing resistant afdwingen en o.a. WHFB bestaat inmiddels 8 jaar. Dan kun je buitgemaakte credentials toch helemaal niet hergebruiken?

Blokker_1999

Datalek
Beveiliging en antivirus

@ibmpc • 28 januari 2024 12:29

Leuk dat je whfb aanhaalt, maar we hebben het hier niet over een zakelijke omgeving (om maar te zwijgen over de vele beperkingen van whfb) maar over particulieren die elks verantwoordelijk zijn voor hun eigen login.

wildhagen

Beveiliging en antivirus
Datalek

@ibmpc • 28 januari 2024 12:15

Is credential stuffing dan nog mogelijk?

Overduidelijk ja, aangezien dat vermoedelijk dus de gebruikte methode is geweest om binnen te komen door de hackers. Staat letterlijk in het artikel toch?

Met Conditional Access kun je phishing resistant afdwingen en o.a. WHFB bestaat inmiddels 8 jaar. Dan kun je buitgemaakte credentials toch helemaal niet hergebruiken?

Klopt, maar dan moet je als persoon/bedrijf die technieken/services wel ondersteunen en implementeren/gebruiken, wat hier dus (vermoedelijk) niet het geval is.

Het bedrijf dwong niet eens 2FA/MFA af, dat was/is slechts optioneel.

ibmpc @wildhagen • 28 januari 2024 12:23

2FA/MFA Is qua beveiliging inmiddels achterhaald. Als de implementatie van een verplichte MFA nog niet eens is begonnen, dan kun je dus beter niet je gegevens kwijt bij zo'n bedrijf.

Hardfreak @ibmpc • 28 januari 2024 12:35

Jazeker, gebeurt op onze webshops geregeld maar dat blokkeren we gewoon.

Helaas hebben we geen MFA noch Captcha's want dat zou klanten kunnen afschrikken om aankopen te kunnen doen (wij hebben trouwens een externe betaalprovider dus wij hebben niks van creditcard info enzo).

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ibmpc • 28 januari 2024 15:01

Met Conditional Access kun je phishing resistant afdwingen en o.a. WHFB bestaat inmiddels 8 jaar.

Allemaal heel leuk maar hoe gaat je dit helpen wanneer je een web portal aanbiedt aan derden die daar niet met Windows Hello for Business kunnen aanmelden en welke vaak geen phishing resistant factor (kunnen) gebruiken? Phishing resistant is sowieso een beetje een rare term omdat ook phising resistant factoren soms met bv andere social engineering toch zijn te omzeilen. De zaken die je noemt zijn met name geschikt voor gebruik binnen een bedrijfsnetwerk waar je alle gebruikers in Microsoft Entra hebt zitten.

mutley69 28 januari 2024 16:54

Biometrische gegevens of DNA-gegevens 'uitlenen' aan een privaat bedrijf is altijd een extreem-slechte optie. Ongeacht het doel - weiger het gebruik hiervan, want op de ene of andere manier kan u de controle over dit soort data sneller dan u verwacht kwijtspelen. En eens die in foute handen zitten?

libero @mutley69 • 28 januari 2024 17:57

En dan? Wat gaan ze dan doen met die gegevens?

Tweddy @mutley69 • 29 januari 2024 09:31

En wat gaan die 'foute handen' dan doen met illegaal verkregen persoonlijke informatie?

kondamin 28 januari 2024 14:01

eigenlijk ongelofelijk dat er geen enkele overheid bij stil had gestaan dat minstens dit zou gebeuren toen deze rommel werd gepusht op sociale media tegen 100/u.

ook misselijk makend dat zo veel "science" youtubers gewoon lekker mee zeulde met de waanzin.

kodak

Datalek
Beveiliging en antivirus

@kondamin • 28 januari 2024 17:33

Aangezien wetgeving ter bescherming juist ook bij overheden vandaan komt is het te makkelijk om te doen alsof deze er niet bij stil staan dat er risico's zijn. Het is eerder dat er hoe dan ook risico is, ongeacht welke gegevens een ander verwerkt.

Natuurlijk kun je daarbij terecht vragen stellen of de risico's acceptabel zijn en dus afvragen of op bestaan wijzen en zelfs promoten dat wel genoeg objectief is. Maar zomaar beschuldigen alsof men te veel risico neemt omdat een risico achteraf uit komt lijkt me niet gepast. Toon dan op zijn minst aan waar een gebrek aan verantwoordelijkheid nemen uit blijkt. Want gebrek valt niet af te schuiven op dat iets kan en achteraf blijkt voorgekomen omdat anderen keuzes maken. Anders kan je iedereen achteraf wel gaan beschuldigen die een dienst benoemde en een crimineel zijn kans daarna grijpt. De wetgever (en dus de gemeenschap) stelt het publiek wijzen op risico's daarbij niet zomaar verplicht. De houding is dus vooral dat een verwerker en eigenaar van persoonsgegevens zelf verantwoordelijk zijn en je anderen niet zomaar verantwoordelijk kan houden. Zeker niet door suggestief te beschuldigen.

kondamin @kodak • 28 januari 2024 18:30

Het gaat over data waar gezondheidsinstanties al langer heel voorzichtig mee om moesten gaan en dan kwamen er plotseling want Amerikaanse met gigantisch veel venture kapitaal bedrijven die overal reclame beginnen maken voor hun meuk.

Als ik me niet vergis heeft 23 and me zich ook al schuldig gemaakt hun database te verkopen.
Dus voor mij gaat het een pak verder dan gewoon een ongelukje met wat data die ontsnapt.

ik ben er niet ingelopen, maar waarom filmpjes en reclame over de zooi werden toegestaan in de EU???
Ook al was dit voor de AVG Nederland had toen ook al een AP in Belgie de CBPL die op de rem hadden kunnen gaan staan.

kodak

Datalek
Beveiliging en antivirus

@kondamin • 28 januari 2024 23:29

Dat het om bijzondere persoonlijke gegevens gaat zorgt er niet zomaar voor dat er selectief strenger opgetreden kan worden. Er kan namelijk niet zomaar verschil in behandelen zijn. Selectief waarschuwen voor sommige bedrijven, of die zelfs uit proberen te sluiten van de markt, is niet zomaar wettig. En van een buitenlands bedrijf is er ook niet zomaar genoeg bewijs te krijgen om te oordelen. Terwijl dit waarschijnlijk niet het enige bedrijf is wat gevoelige persoonlijke gegevens lekt. Daarom moeten (mogelijke) klanten dus zelf ook verantwoordelijkheid nemen die ze wettelijk ook hebben gekregen. Want die klanten zijn niet zomaar slechts slachtoffer als ze geen interesse hebben of een bedrijf wel te vertrouwen is en ze risico voor anderen veroorzaken door er klant te zijn.

Thonz 28 januari 2024 19:08

Wanneer dit soort dna-services een “killer app” krijgt, zijn deze 14.000 echt de klos.

Tweddy @Thonz • 29 januari 2024 09:31

In welke richting denk je dan aan?

Thonz @Tweddy • 29 januari 2024 11:52

als ik zou weten wat dé "killer app" is, dan zou ik hier niet op tweakers zitten posten

.
Ik kan me voorstellen dat er misbruik van gemaakt wordt, maar ook dat die ene waardevolle toepassing voor deze 14.000 niet meer mogelijk is.

Gekke Dirkie 28 januari 2024 23:20

Is er een commercieel genealogisch DNA-onderzoeksbureau dat wèl betrouwbaar is, en niet in handen van de Chinese overheid of mormonen, je DNA niet doorverkoopt of deelt met andere bedrijven, instanties, politie, etc?

Op dit item kan niet meer gereageerd worden.

23andMe: hackers hadden maandenlang toegang tot gegevens klanten

Lees meer

Reacties (114)

Sorteer op:

Weergave: