Что происходит, когда хакеры получают вашу ДНК? спросите 23andMe

К концу 2023 года компания по тестированию ДНК23ДеньОбнаружили нарушениеЭто подорвало персональные и генетические данные миллионов пользователей.[1] вВ отличие от типичного инцидента в области кибербезопасности, связанного с паролями или информацией о платежах, эта атака раскрыла глубокие личные сведения — детали предков, генетические маркеры, семейные связи — которые являютсяimpossible to reset.

Это нарушение стало поворотным моментом в эпоху цифрового здравоохранения и биометрических данных, разрушило предположения о потребительских генетических платформах, раскрыло каскадные риски слабой аутентификации и вызвало регулятивный контроль во всем мире.

Нарушение не происходило в изоляции. 23andMe долго боролась за создание устойчивой бизнес-модели. После того, как она стала публичной, она не смогла сделать прибыль, сильно полагаясь на продажи одноразовых комплектов, не создавая сильных рецидивирующих потоков доходов. Ее попытка переключиться на терапевтику также не смогла получить тягу. Эти структурные проблемы создали хрупкий фундамент, который оставил компанию особенно уязвимой, когда произошло нарушение.final blow, усугубляя юридическое, репутационное и оперативное давление, которое уже увеличивалось.

Данный доклад предлагает аПолная проверка нарушения 23andMeЧто произошло, как злоумышленники использовали слабости дизайна, объем и чувствительность раскрытых данных, нормативные и правовые последствия, сравнения с другими биотехнологическими инцидентами и практические уроки для всехsafeguarding biometric or genomic data.

1. What Happened: Timeline, Method, and Exposure

Credential Stuffing at Scale

В октябре 2023 года хакер, называя себя «Голем», начал утечку наборов данных, якобы украденных с аккаунтов 23andMe.[2] вДанные были классифицированы по этническим группам – первоначально ашкеназские евреи и китайские пользователи – указывая на возможное намерение нацелиться на конкретные популяции.[3] вУтечка в конечном итоге расширилась, чтобы включитьover 6.9 million profiles [1] в.

В отличие от традиционной эксплуатации инфраструктуры, это нарушение полагалось наcredential stuffingАвтоматическое введение нарушенных комбинаций пользователей и паролей с других платформ в портал входа 23andMe.14,000 accountsбыли непосредственно доступны, но участие каждого аккаунта в функции «ДНК родственники» позволило злоумышленнику извлечь данные профиля миллионов связанных пользователей[4] в.

Timeline of Events

• April–September 2023: Credential stuffing attack launched, slowly compromising thousands of accounts.

• October 2023: Reddit post reveals 23andMe user data being sold on the dark web.

• October 2023: 23andMe publicly discloses the breach.

• October 2023: A class-action lawsuit is filed.

• November 2023: 40% workforce reduction.

• October 2024: $30 million legal settlement, mostly covered by cyber insurance.

• April 2024: CEO Anne Wojcicki proposes taking the company private—rejected by the board.

• September 2024: Entire board resigns due to strategic disagreements.

• March 2025: 23andMe files for Chapter 11 bankruptcy and Wojcicki steps down.

• March, 2025: 23andMe has proposed an auction for the sale of its assets [6].

  
  

Примечательно, что данное заявление о банкротстве не включает в себя немедленную ликвидацию (как в главе 7), а скорее стратегическую попытку реструктуризировать долг компании и потенциально продать подразделения бизнеса при сохранении ограниченных операций.sensitive data infrastructure could be auctionedЭто вызывает новые опасения по поводу судьбы данных ДНК пользователей.

What Was Leaked

Нарушение выявило обаdirect user account dataиconnected profile dataВ том числе:

• Full names, usernames, profile photos

• Genetic ancestry reports, haplogroup information

• Birth years, locations, family surnames

• Ethnicity percentages and geographic origin data

• Connections to relatives via DNA Relatives

  
  

Хотя первоначально считалось, что это исключает сырые генетические файлы, позднее раскрытие подтвердило, чтоsome health reports and raw genotype dataбыл загружен до 23andMe отключен доступ[5] в.

К началу 2025 года, в рамках своей главы 11 процедуры, 23andMe объявила о планахauction off corporate assets— включая потенциально чувствительные данные пользователей или связанную с ними инфраструктуру[6] вЭтот шаг вызвал новую критику со стороны сторонников конфиденциальности, обеспокоенных тем, что геномные данные могут быть проданы в рамках процесса банкротства.

2. Genomic Privacy and the Permanence Problem

Нарушение вызвало новые опасенияgenetic identity theft— риск, который качественно отличается от традиционных утечек PII. Данные ДНК не только неизменны; этоinherently socialГенетический профиль человека также раскрывает информацию о его родственниках, этнической группе и потенциальных предрасположенностях к здоровью.

Weaponization of Genetic Data

Обозначая и сегментируя наборы данных по этнической принадлежности (например, «китайский», «ашкеназский еврей»), злоумышленники представили потенциал для использования генетических данных дляracial profiling or targeted harassmentЭксперты отметили возможность использования этих данных для:

• Идентификация отдельных лиц или семей по генеалогическим данным
• Цели этнических меньшинств с речью ненависти или дезинформацией
• Раскрытие рисков наследственных заболеваний или стигматизирующих признаков

Это нарушение сделало абстрактные опасения по поводу геномной конфиденциальности болезненно реальными[3] в.

DarkOwl раскрыл, что нарушение было первымadvertised on Hydra Marketв августе 2023 года пользователем по имени Дажбог, который утверждал, что владеет300TB of DNA data for saleНацелитьсяethnic groups and geographiesПозже, актёр угроз, известный как Голем, опубликовал части данных на Telegram и Breach Forums — некоторые из них якобы были настроены в ответ на это.October 7 Israel-Gaza conflictЭто свидетельствует не только о финансовом мотиве, но и оgeopolitical oneГдеgenetic data was deliberately weaponizedпровоцировать напряжение и подстрекать к вреду[14 ].

Но риски распространяются еще дальше. Как только ваша ДНК просочится, ее нельзя изменить.permanent identifier— и это открывает дверь для гораздо более темного злоупотребления:

Топ-5 угроз злоупотребления генетическими данными

1. Biometric Identity Theft / Impersonation – DNA used to forge identities in biometric systems; irreversible and uniquely tied to you.

2. Framing or Incrimination via DNA Planting – Genetic evidence can be fabricated and planted at crime scenes, leading to false accusations.

   
   

   Real-world example: In 2009, Israeli scientists from Nucleix published a paper titled Fabricating DNA Evidence, proving that fake DNA could be created using a real profile and standard lab equipment—enough to pass forensic authentication.

   
   

3. Targeted Bioweapons – Biological weapons could theoretically be designed to exploit specific genetic vulnerabilities in individuals or ethnic populations.

4. Familial Exposure and Privacy Breach – Your genome contains sensitive information about your relatives—none of whom may have consented to its exposure.

5. Genetic Discrimination by Insurers and Employers – Individuals could face denial of coverage, increased premiums, or lost job opportunities based on genetic predispositions, even in regions with legal protections.

   
   

Пример реального мира: В 2009 году израильские ученые из Nucleix опубликовали статью под названием Fabricating DNA Evidence, доказывающую, что фальшивая ДНК может быть создана с использованием реального профиля и стандартного лабораторного оборудования — достаточно, чтобы пройти судебно-медицинскую аутентификацию.

Long-Term Implications

Точно так же, как нарушение ОПМ в 2015 году вызвало обеспокоенность по поводу будущего злоупотребления украденными отпечатками пальцев[ 13 ], инцидент 23andMe вызывает тревожную перспективу:what could adversaries do with stolen genetic data five or ten years from now?От персонализированных атак социальной инженерии до дискриминационного профилирования, потенциальные возможности только начинают появляться.

Если пользователи теряют веру в способность платформы защищать свою ДНК, они могут отказаться от нее полностью, останавливая генетические исследования и коммерческую диагностику.

3. Why Security Controls Failed

Нарушение 23andMe не было случаем сложного вторжения через технические нулевые дни — это была неудачаbasic security hygieneиfeature design.

Authentication and Monitoring Weaknesses

Нападавшие использовали заполнение данных для получения доступа.В то время как пользователи несут некоторую вину за повторное использование пароля,platform failed to enforce two-factor authentication (2FA)по умолчанию до момента нарушения[4] в.

Key gaps included:

• 2FA was optional, not mandatory.

• Login attempts from unusual IPs or behaviors went undetected for months.

• There were no apparent safeguards against automated scraping once logged in.

  
  

Нарушение продолжалось в течение пяти месяцев, с апреля по сентябрь 2023 года, не вызывая эффективной тревоги.[5] в.

Abuse of DNA Relatives Feature

Нападавшие не использовали уязвимость — они использовали системуexactly as intendedФункция «Родственники ДНК» позволяет пользователям просматривать данные о генетически связанных индивидах.Как только злоумышленник получил доступ к одной учетной записи, они могли систематически извлекать информацию изhundreds or even thousands of genetic matches.

Это был не просто разрыв в аутентификации. Это отражалоfailure to anticipate how product features could be weaponizedНарушение совпало с усилением напряженности в израильско-палестинском конфликте и непропорционально затронутыми лицами, идентифицированными как евреи-ашкенази или китайцы, вызывая вопросы о мотивах и намерениях.

Это напоминание о том, что риск не статичен, так же как элементы редкой земли стали стратегически ценными с появлением полупроводников.the value of certain datasets can spike in response to world events— и так может быть мотивация для их эксплуатации.

4. Legal and Regulatory Consequences

Масштабы и характер нарушения 23andMe привели к немедленным правовым последствиям и усилению регуляторного контроля, особенно учитывая, что генетические данные рассматриваются как:sensitive personal dataв соответствии с законами, такими как GDPR, CCPA и различными законами о биометрической конфиденциальности на государственном уровне.

Lawsuits and Settlements

В течение нескольких недель после того, как нарушение стало публичным, 23andMe столкнулась с многочисленными судебными разбирательствами в США, обвиняя в небрежности, нарушении контракта и неспособности защитить конфиденциальные данные о здоровье.[5] в.

В марте 2024 года компания согласилась на$30 million settlementВ то время как 23andMe не признавали правонарушений, соглашение требовало, чтобы они ввели всеобъемлющие реформы, в том числе:

• Mandatory two-factor authentication for all users

• Regular cybersecurity audits

• Clear deletion policies for inactive accounts

• Enhanced breach notification protocols

  
  

Federal and State Regulatory Scrutiny

ТЭFederal Trade Commission (FTC)уже предприняла действия против другой компании по тестированию ДНК — 1Health/Vitagene — за мошеннические практики и вялую безопасность в 2023 году[6] вЭтот случай создал прецедент: компании, занимающиеся генетическим тестированием, могут быть расследованы в соответствии с Законом о ФТК.unfair or deceptive data practicesОсобенно, когда потребители вводятся в заблуждение относительно того, как их ДНК будет использоваться или храниться.

Вслед за нарушением,California’s Attorney GeneralОн подчеркнул важность геномной конфиденциальности и рекомендовал потребителям пересмотреть свои настройки учетной записи и предпочтения в области обмена данными.[7 ].

Если европейские клиенты 23andMe были затронуты, регулирующие органыGeneral Data Protection Regulation (GDPR)генетические данные классифицируются в соответствии с GDPR как“special category”требует явного согласия и дополнительных защитных мер. Нарушение, связанное с такими данными, можетfines of up to 4% of global revenue.

TOS Controversy

Вслед за нарушением, 23andMe спорным образом обновил свойTerms of Service to prohibit class-action lawsuitsКритики, включая группы цифровых прав, обвинили компанию в том, что она пытается ограничить юридическую ответственность. FTC ранее предупреждала в других случаях, что ретроактивные изменения условий конфиденциальности без согласия пользователей могут сами стать основанием для исполнения[6] в.

5. Reputational Fallout and Industry Comparisons

Trust Lost, Brand Damaged

Для такой компании, как 23andMe — построенной на доверии потребителей — ущерб был экзистенциальным.most personal data, и любое нарушение может спровоцировать длительный страх и реакцию.В этом случае исход был быстрым и тяжелым.

В марте 2025 года, менее чем через два года после нарушения, 23andMe подала заявку наChapter 11 bankruptcy, ссылаясь на коллапс потребительского спроса и репутационный удар, от которого он не смог восстановиться[7 ]Рыночная стоимость компании упала более чем на 99% от своего пика, и попытки продать бизнес потерпели неудачу.

Несмотря на то, что в игре были и другие факторы рынка, включая насыщение прямых потребительских тестов, нарушение широко рассматривается какtriggering eventЭто подрывает лояльность клиентов и жизнеспособность бизнеса.

Other Biotech Breaches: Lessons from Peers

Инцидент 23andMe является частью растущей модели:

• MyHeritage (2018): Нарушение раскрыло 92 миллиона комбинаций электронной почты и паролей, хотя генетические данные не были утеряны благодаря сегрегированным системам [9].
• Диагностический центр ДНК (2021): выявлены цифры социального страхования и тестовые записи для 2 миллионов пользователей из-за неисправностей наследственной системы [11].
• GEDmatch (2020): Настройки конфиденциальности были сброшены в нарушение, которое выложило генетические данные на поиск правоохранительных органов без согласия пользователей.
• Ancestry’s RootsWeb (2017): учетные данные пользователей просочились через неправильно настроенный сервер, хотя никакие генетические данные не были компрометированы [10].

Ключевой шаблон?Credential-based breaches and weak privacy controlsНарушение 23andMe выделяется масштабом его геномного воздействия и его долгосрочными последствиями для бизнеса.

6. 23andMe Breach: Lessons and Security Recommendations

Нарушение 23andMe подчеркивает модель, с которой должны бороться команды кибербезопасности: злоупотребление функциями, слабая аутентификация и чрезмерное доверие к взаимосвязанным системам.

Key Security Takeaways

• Mandate MFA by Default

  Optional two-factor authentication doesn’t meet the threat model of consumer genomics. Platforms handling sensitive data must enforce MFA for all users—not just as a best practice, but as a formal requirement under OWASP ASVS 2.1.3 (Level 3)

  
  

• Model for Feature Abuse, Not Just Exploits

  DNA Relatives wasn’t “vulnerable” in the traditional sense—but became a powerful data-harvesting tool after account takeover. Security reviews must include abuse-case threat modeling, not just code audits.

  
  

• Detect Anomalous Behavior and Limit Overuse

  The attackers operated slowly and quietly. Behavioural monitoring and granular rate limiting are essential for catching “low-and-slow” attacks that bypass basic alerting.

  
  

• Encrypt and Segment Critical Data Assets

  MyHeritage avoided deeper fallout in 2018 because DNA data was logically separated and encrypted. 23andMe’s architecture exposed too much once authenticated. Access control must extend beyond login.

  
  

• Practice Data Minimization by Design

  Retention policies shouldn’t wait for litigation. Deleting dormant accounts and minimizing data collection reduces blast radius and aligns with modern privacy principles.

  
  

• Detection Lag Is a Threat Multiplier

  It took over five months for 23andMe to detect the breach. That’s five months of unchecked data exfiltration—long after the breach had gone public on criminal forums.

  
  

• Cyber Insurance Doesn’t Guarantee Survival

  Even though 23andMe’s policy reportedly covered $25M of a $30M legal settlement, it couldn’t salvage the brand or stop the downward spiral. Insurance is not a substitute for security.

  
  

• Own the Narrative During Incident Response

  Pointing fingers at users damaged trust. A strong response requires clear communication, visible change, and a shared sense of accountability.

  
  

  For a closer look at what 23andMe actually fixed in the aftermath, Demyd Maiornykov breaks it down here.

  
  

Conclusion

23 Нарушение будет вспоминаться не только за то, что было раскрыто, но и за то, что оно открыло:fragility of trust in platforms built on personal identity dataВ отличие от нарушений в Equifax или Anthem, это касалось генетической идентичности — информации, которую нельзя изменить, отозвать или легко перезащитить.

Чтобы быть ясным, нарушение не подорвало компанию в одиночку.Это был последний удар в более длительном раскрытии.Результаты деятельности акций уже снижались, и инцидент усилил более широкие опасения по поводу безопасности платформы, жизнеспособности бизнеса и долгосрочного доверия общественности.

Здесь также есть более глубокие, структурные уроки.Cyber insurance didn’t save the company.Стратегическое выполнение не могло идти в ногу с ожиданиями инвесторов; в принципе, одноразовый тест ДНК не является устойчивой бизнес-моделью.

Нарушение не было вызвано одной ошибкой или эксплойтом. Это был продукт системных выборов дизайна, которые придавали приоритет доступ к ограничению.age of genomic and biometric data, cybersecurity must evolve beyond perimeter controlsОн должен защищать отношения между наборами данных, а не только самими данными.

Для биотехнологических компаний безопасность больше не может сидеть в тылу.woven into architecture, user experience, and data governance from day oneПотому что в геномике доверие — это не добавленная ценность — это целое предложение о ценности, и как только оно сломается, нет никакого способа вернуть его.

Data breaches are evolving. Is your security strategy keeping up?

Пент-тест с проверкой на коробку не уменьшит его, если вы обрабатываете геномные или данные о здоровье.real-world threat modelling,OWASP-driven testing, иcompliance-aligned reportsПостроенный дляHIPAA, FDA, and MDRокружающей среды .

Забронируйте свой биотехнологический планшет сегодня

References

1. Википедия - 23andMe Data Leak
2. arXiv - Анализ повествования и 23andMe
3. EFF - что делать, если вы обеспокоены нарушением 23andMe
4. Стратегии риска – понимание нарушения 23andMe и обеспечение кибербезопасности
5. BleepingComputer – 23andMe заплатит $30 миллионов в разрешении генетических нарушений данных
6. Закон Блумберга: 23andMe Demise разместила информацию о ДНК 15 миллионов пользователей на аукционе
7. Reuters - 23andMe подает заявление о банкротстве 11 для продажи себя
8. FTC - 1Health (Vitagene) не смогла защитить данные ДНК, изменила условия конфиденциальности
9. The Verge: MyHeritage подтверждает, что 92 миллиона аккаунтов пользователей были скомпрометированы
10. Twingate – Ancestry Data Breach через RootsWeb
11. TechTarget - Центр диагностики ДНК достиг расчетов в 400 000 долларов после нарушения данных
12. OWASP ASVS – Требования к аутентификации (2.1.3)
13. Reuters: 56 миллионов отпечатков пальцев украдены при взломе OPM
14. DarkOwl - 23andMe страдает от утечки данных