• 發布單位:TWCERT/CC
• 更新日期:2023-12-27
• 點閱次數:193

美國基因測試公司 23andMe 日前發生的駭侵事件，現在已知共有 690 萬名「其他使用者」的血統世系資料遭到駭侵者竊取，較該公司先前公布的可能受影響人數多上許多。

在 23andMe 於上周五發表的通報中指出，該公司有約 0.1%，相當於 14,000 位顧客資料在 2023 年 10 月時發生的駭侵事件中遭竊，但該公司同時也表示，駭侵者可透過存取這些使用者的帳戶，取得「大量含有其他使用者血統世系資料的檔案」，惟該公司當時並未透過所謂「其他使用者」的數量有多少人。

根據資訊媒體 TechCrunch 的報導指出，在 23andMe 公司發送給 TechCrunch 的信件中，該公司發言人承認，駭侵者可以存取的所謂「其他使用者」個人檔案，包括 550 萬名參與使用該公司「DNA Relatives」功能的使用者；這項功能讓使用者能自動將相關資料分享給其他人。而 23andMe 同時也承認另外還有 140 萬名使用者的家族資料也可能遭駭侵者不當存取。

據指出，遭到竊取的顧客資料欄位，包括使用者姓名、出生年、關係標籤、與親友的相同 DNA 百分比例、血統世系報告書、自我揭露的所在地資料，以及其他使用者主動提供給 23andMe 的資訊。

在今年 10 月初，有一名駭侵者聲稱犯下 23andMe 駭侵攻擊事件，並且在某個知名駭侵討論區中公布了 100 萬名猶太人和 10 萬名中國人的世系資料，並以一個使用者帳號 1 美元到 10 美元的價格求售。兩星期後，該駭侵者又在同一駭侵討論區中販賣另外 400 萬名使用者的世系資料。

握有大量使用者資料的公私單位，均應加強資安防護，避免資料遭竊，嚴重影響使用者隱私與權益。