Đến cuối năm 2023, công ty thử nghiệm DNA23NgườiPhát hiện vi phạmgây nguy hiểm cho dữ liệu cá nhân và di truyền của hàng triệu người dùng[1] Đánh giáKhông giống như một sự cố an ninh mạng điển hình liên quan đến mật khẩu hoặc thông tin thanh toán, cuộc tấn công này phơi bày những hiểu biết cá nhân sâu sắc - chi tiết tổ tiên, dấu hiệu di truyền, kết nối gia đình - đó là:impossible to reset.
23Người
Vi phạm này là một bước ngoặt trong thời đại y tế kỹ thuật số và sinh trắc học. nó phá vỡ các giả định về các nền tảng di truyền học tiêu dùng, tiết lộ những rủi ro hàng loạt của xác thực yếu và kích thích kiểm tra quy định trên toàn thế giới. quan trọng nhất, nó cho thấy những gì xảy ra khi dữ liệu genomic, một dấu vân tay kỹ thuật số không thay đổi, bị bỏ lại dễ bị tổn thương.
Vụ vi phạm không xảy ra một cách cô lập. 23andMe từ lâu đã phải vật lộn để xây dựng một mô hình kinh doanh bền vững. Sau khi công khai, nó đã thất bại trong việc tạo ra lợi nhuận, phụ thuộc rất nhiều vào doanh số bán hàng một lần mà không xây dựng các luồng doanh thu lặp đi lặp lại mạnh mẽ. Nỗ lực của nó để quay sang điều trị cũng thất bại trong việc đạt được sức kéo. Những vấn đề cấu trúc này tạo ra một nền tảng mỏng manh, một nền tảng khiến công ty đặc biệt dễ bị tổn thương khi sự vi phạm xảy ra. Cuộc tấn công trở thành mộtfinal blow, làm trầm trọng thêm áp lực pháp lý, danh tiếng và hoạt động đã gia tăng.
Báo cáo này cung cấp mộtĐiều tra toàn diện vi phạm 23andMeĐiều gì đã xảy ra, làm thế nào những kẻ tấn công khai thác các điểm yếu thiết kế, phạm vi và độ nhạy cảm của dữ liệu được phơi bày, hậu quả pháp lý và pháp lý, so sánh với các sự cố công nghệ sinh học khác, và những bài học có thể hành động cho bất cứ aisafeguarding biometric or genomic data.
1. What Happened: Timeline, Method, and Exposure
Điều gì đã xảy ra: Timeline, Method, and ExposureCredential Stuffing at Scale
Vào tháng 10 năm 2023, một hacker tự gọi mình là "Golem" bắt đầu rò rỉ các bộ dữ liệu bị cáo buộc bị đánh cắp từ các tài khoản 23andMe.2 ( 2 )Dữ liệu được phân loại theo nhóm dân tộc – ban đầu là người Do Thái Ashkenazi và người Trung Quốc – cho thấy có thể có ý định nhắm mục tiêu vào một dân số cụ thể.[3] Của tôiSự rò rỉ cuối cùng đã mở rộng để bao gồmover 6.9 million profiles [1] Đánh giá.
Không giống như một sự khai thác cơ sở hạ tầng truyền thống, vi phạm này dựa vàocredential stuffing: tiêm tự động các kết hợp tên người dùng-mật khẩu bị vi phạm từ các nền tảng khác vào cổng đăng nhập của 23andMe.14,000 accountsđã được truy cập trực tiếp, nhưng sự tham gia của mỗi tài khoản trong tính năng "DNA Relatives" cho phép kẻ tấn công thu thập dữ liệu hồ sơ của hàng triệu người dùng có liên quan[ 4 ].
Timeline of Events
-
April–September 2023: Credential stuffing attack launched, slowly compromising thousands of accounts.
-
October 2023: Reddit post reveals 23andMe user data being sold on the dark web.
-
October 2023: 23andMe publicly discloses the breach.
-
October 2023: A class-action lawsuit is filed.
-
November 2023: 40% workforce reduction.
-
October 2024: $30 million legal settlement, mostly covered by cyber insurance.
-
April 2024: CEO Anne Wojcicki proposes taking the company private—rejected by the board.
-
September 2024: Entire board resigns due to strategic disagreements.
-
March 2025: 23andMe files for Chapter 11 bankruptcy and Wojcicki steps down.
-
March, 2025: 23andMe has proposed an auction for the sale of its assets [6].
Đặc biệt, hồ sơ phá sản này không liên quan đến thanh lý ngay lập tức (như trong Chương 7) mà là một nỗ lực chiến lược để tái cấu trúc nợ của công ty và có khả năng bán các đơn vị kinh doanh trong khi duy trì hoạt động hạn chế.sensitive data infrastructure could be auctioned, làm dấy lên những lo ngại mới về số phận của dữ liệu DNA của người dùng.
What Was Leaked
Vụ vi phạm đã phơi bày cả haidirect user account datavàconnected profile data, bao gồm:
-
Full names, usernames, profile photos
-
Genetic ancestry reports, haplogroup information
-
Birth years, locations, family surnames
-
Ethnicity percentages and geographic origin data
-
Connections to relatives via DNA Relatives
Trong khi ban đầu được cho là loại trừ các tập tin di truyền thô, những tiết lộ sau này đã xác nhận rằngsome health reports and raw genotype datađã được tải về trước khi 23andMe vô hiệu hóa quyền truy cập[55] Đời.
Vào đầu năm 2025, như một phần của chương 11 thủ tục của mình, 23andMe đã công bố kế hoạchauction off corporate assets- bao gồm dữ liệu người dùng nhạy cảm hoặc cơ sở hạ tầng liên quanTác phẩm [6]Động thái này đã gây ra những lời chỉ trích mới từ những người ủng hộ quyền riêng tư lo ngại rằng dữ liệu genomic có thể được bán như một phần của quá trình phá sản.
2. Genomic Privacy and the Permanence Problem
Quyền riêng tư Genomic và vấn đề vĩnh viễnSự vi phạm đã làm dấy lên những nỗi sợ hãi mớigenetic identity theft—một rủi ro có chất lượng khác với rò rỉ PII truyền thống. dữ liệu DNA không chỉ không thể thay đổi; nó làinherently socialHồ sơ di truyền của một người cũng tiết lộ thông tin về người thân, nhóm dân tộc và khuynh hướng sức khỏe tiềm năng của họ.
Weaponization of Genetic Data
Bằng cách dán nhãn và phân đoạn các tập dữ liệu theo dân tộc (ví dụ: “Người Trung Quốc”, “Người Do Thái Ashkenazi”), những kẻ tấn công đã giới thiệu tiềm năng cho dữ liệu di truyền được sử dụng đểracial profiling or targeted harassmentCác chuyên gia lưu ý khả năng dữ liệu này được sử dụng để:
- Xác định cá nhân hoặc gia đình từ dữ liệu dòng dõi
- Nhắm mục tiêu các dân tộc thiểu số với lời nói thù hận hoặc thông tin sai lệch
- Khám phá rủi ro mắc bệnh di truyền hoặc những đặc điểm đánh dấu
Vi phạm này làm cho mối quan tâm trừu tượng về sự riêng tư genomic trở nên thực tế[3] Của tôi.
DarkOwl tiết lộ rằng vi phạm là đầu tiênadvertised on Hydra Marketvào tháng 8 năm 2023 bởi một người dùng tên là Dazhbog, người tuyên bố sở hữu300TB of DNA data for salenhắm mục tiêuethnic groups and geographiesSau đó, một diễn viên đe dọa được gọi là Golem đã phát hành một phần dữ liệu trên Telegram và các diễn đàn vi phạm - một số trong số đó được cho là đã được lên lịch để đáp ứng với cuộc tấn công.October 7 Israel-Gaza conflictĐiều này cho thấy không chỉ là một động cơ tài chính mà còn là mộtgeopolitical oneNơi nàogenetic data was deliberately weaponizedĐể gây căng thẳng và kích động thiệt hại[24] Đánh giá.
Nhưng những rủi ro mở rộng hơn nữa. một khi DNA của bạn bị rò rỉ, nó không thể thay đổi.permanent identifier— và điều đó mở ra cánh cửa cho sự lạm dụng tối tăm hơn nhiều:
Top 5 mối đe dọa lạm dụng dữ liệu di truyền
-
Biometric Identity Theft / Impersonation – DNA used to forge identities in biometric systems; irreversible and uniquely tied to you.
-
Framing or Incrimination via DNA Planting – Genetic evidence can be fabricated and planted at crime scenes, leading to false accusations.
Real-world example: In 2009, Israeli scientists from Nucleix published a paper titled Fabricating DNA Evidence, proving that fake DNA could be created using a real profile and standard lab equipment—enough to pass forensic authentication.
-
Targeted Bioweapons – Biological weapons could theoretically be designed to exploit specific genetic vulnerabilities in individuals or ethnic populations.
-
Familial Exposure and Privacy Breach – Your genome contains sensitive information about your relatives—none of whom may have consented to its exposure.
-
Genetic Discrimination by Insurers and Employers – Individuals could face denial of coverage, increased premiums, or lost job opportunities based on genetic predispositions, even in regions with legal protections.
Ví dụ thế giới thực: Năm 2009, các nhà khoa học Israel từ Nucleix đã xuất bản một bài báo có tựa đề Fabricating DNA Evidence, chứng minh rằng DNA giả có thể được tạo ra bằng cách sử dụng hồ sơ thực và thiết bị phòng thí nghiệm tiêu chuẩn – đủ để thông qua xác thực pháp y.
Ví dụ thế giới thực:Long-Term Implications
Cũng giống như vi phạm OPM năm 2015 đã làm dấy lên lo ngại về việc sử dụng sai các dấu vân tay bị đánh cắp trong tương lai[Tập 13], sự cố 23andMe làm dấy lên một triển vọng lạnh lùng:what could adversaries do with stolen genetic data five or ten years from now?Từ các cuộc tấn công kỹ thuật xã hội được cá nhân hóa đến hồ sơ phân biệt đối xử, các ứng dụng tiềm năng chỉ mới bắt đầu xuất hiện.
Nếu người dùng mất niềm tin vào khả năng bảo vệ DNA của một nền tảng, họ có thể từ bỏ nó hoàn toàn, ngăn chặn nghiên cứu di truyền và chẩn đoán thương mại.
3. Why Security Controls Failed
Tại sao kiểm soát an ninh thất bạiVụ vi phạm 23andMe không phải là một trường hợp xâm nhập tinh vi thông qua các ngày không kỹ thuật - đó là một sự thất bại củabasic security hygienevàfeature design.
Authentication and Monitoring Weaknesses
Những kẻ tấn công đã sử dụng credential stuffing để có được quyền truy cập.Trong khi người dùng chịu trách nhiệm về việc sử dụng lại mật khẩu,platform failed to enforce two-factor authentication (2FA)theo mặc định cho đến sau khi vi phạm[ 4 ].
Key gaps included:
-
2FA was optional, not mandatory.
-
Login attempts from unusual IPs or behaviors went undetected for months.
-
There were no apparent safeguards against automated scraping once logged in.
Vụ vi phạm đã kéo dài trong năm tháng, từ tháng 4 đến tháng 9 năm 2023, mà không kích hoạt báo động hiệu quả.[55] Đời.
Abuse of DNA Relatives Feature
Những kẻ tấn công không khai thác lỗ hổng - họ đã sử dụng hệ thốngexactly as intendedTính năng DNA Relatives cho phép người dùng xem dữ liệu về các cá nhân có liên quan về gen. Một khi một kẻ tấn công truy cập vào một tài khoản duy nhất, họ có thể cạo thông tin từhundreds or even thousands of genetic matches.
Đây không chỉ là một sự phá vỡ trong xác thực. Nó phản ánh mộtfailure to anticipate how product features could be weaponizedSự vi phạm trùng khớp với căng thẳng gia tăng trong cuộc xung đột Israel-Palestine, và ảnh hưởng không tương xứng đến các cá nhân được xác định là người Do Thái Ashkenazi hoặc Trung Quốc - đặt ra câu hỏi về động cơ và ý định.
Đó là một lời nhắc nhở rằng rủi ro không phải là tĩnh.Cũng giống như các yếu tố đất hiếm đã trở nên có giá trị chiến lược với sự gia tăng của các chất bán dẫn,the value of certain datasets can spike in response to world events- và cũng có thể là động lực để khai thác chúng.
4. Legal and Regulatory Consequences
4.Các hậu quả pháp lý và quy địnhMức độ và bản chất của sự vi phạm 23andMe đã gây ra hậu quả pháp lý ngay lập tức và tăng cường kiểm tra pháp lý - đặc biệt là khi dữ liệu di truyền được xử lý nhưsensitive personal datatheo luật như GDPR, CCPA và các quy định về quyền riêng tư sinh trắc học khác nhau ở cấp tiểu bang.
Lawsuits and Settlements
Trong vài tuần kể từ khi vi phạm trở nên công khai, 23andMe đã phải đối mặt với nhiều vụ kiện hành động theo nhóm ở Mỹ, cáo buộc lạm dụng, vi phạm hợp đồng và không bảo vệ dữ liệu sức khỏe nhạy cảm.[55] Đời.
Đến tháng 3 năm 2024, công ty đã đồng ý$30 million settlementTrong khi 23andMe không thừa nhận sai lầm, thỏa thuận đòi hỏi họ phải giới thiệu các cải cách toàn diện, bao gồm:
-
Mandatory two-factor authentication for all users
-
Regular cybersecurity audits
-
Clear deletion policies for inactive accounts
-
Enhanced breach notification protocols
Federal and State Regulatory Scrutiny
CácFederal Trade Commission (FTC)đã có hành động chống lại một công ty thử nghiệm DNA khác - 1Health / Vitagene - vì thực hành gian lận và an ninh lỏng lẻo vào năm 2023Tác phẩm [6]Trường hợp đó đã tạo ra một tiền lệ: các công ty thử nghiệm gen có thể bị điều tra theo Đạo luật FTCunfair or deceptive data practicesĐặc biệt là khi người tiêu dùng bị nhầm lẫn về cách DNA của họ sẽ được sử dụng hoặc lưu trữ.
Sau khi vi phạm,California’s Attorney Generalnhấn mạnh tầm quan trọng của quyền riêng tư genomic và khuyến nghị người tiêu dùng xem xét cài đặt tài khoản và sở thích chia sẻ dữ liệu của họ[Tập 7].
Nếu khách hàng châu Âu của 23andMe bị ảnh hưởng, các cơ quan quản lýGeneral Data Protection Regulation (GDPR)Dữ liệu di truyền được phân loại theo GDPR là một“special category”yêu cầu sự đồng ý rõ ràng và các biện pháp bảo vệ bổ sung. vi phạm dữ liệu như vậy có thể kích hoạtfines of up to 4% of global revenue.
TOS Controversy
Sau khi vi phạm, 23andMe gây tranh cãi cập nhậtTerms of Service to prohibit class-action lawsuitsCác nhà phê bình, bao gồm cả các nhóm quyền kỹ thuật số, cáo buộc công ty cố gắng hạn chế trách nhiệm pháp lý.FTC trước đó đã cảnh báo trong các trường hợp khác rằng những thay đổi có hiệu lực ngược lại đối với các điều khoản bảo mật mà không có sự đồng ý của người dùng có thể chính họ là cơ sở để thực thiTác phẩm [6].
5. Reputational Fallout and Industry Comparisons
Danh tiếng Fallout và ngành công nghiệp so sánhTrust Lost, Brand Damaged
Đối với một công ty như 23andMe – được xây dựng trên niềm tin của người tiêu dùng – thiệt hại là tồn tại.most personal data, và bất kỳ vi phạm nào có thể gây ra nỗi sợ hãi và phản ứng lâu dài.Trong trường hợp này, kết quả là nhanh chóng và nghiêm trọng.
Vào tháng 3 năm 2025, chưa đầy hai năm sau khi vi phạm, 23andMe đã nộp đơn xinChapter 11 bankruptcy, trích dẫn sự sụp đổ của nhu cầu tiêu dùng và một cú đánh danh tiếng mà nó không thể phục hồi từ[Tập 7]Giá trị thị trường của công ty đã giảm hơn 99% so với đỉnh điểm, và những nỗ lực bán doanh nghiệp đã thất bại.
Mặc dù các yếu tố thị trường khác đã có mặt - bao gồm cả sự bão hòa của thử nghiệm trực tiếp cho người tiêu dùng - vi phạm được coi là mộttriggering eventĐiều đó làm suy yếu lòng trung thành của khách hàng và khả năng kinh doanh.
Other Biotech Breaches: Lessons from Peers
Sự cố 23andMe là một phần của một mô hình ngày càng tăng:
- MyHeritage (2018): Một sự xâm nhập đã phơi bày 92 triệu kết hợp email / mật khẩu, mặc dù dữ liệu di truyền không bị rò rỉ nhờ các hệ thống tách biệt [9].
- Trung tâm Chẩn đoán DNA (2021): Phơi nhiễm số an sinh xã hội và hồ sơ thử nghiệm cho 2 triệu người dùng do sự cố hệ thống cổ xưa [11].
- GEDmatch (2020): Cài đặt quyền riêng tư đã được đặt lại trong một vi phạm mà phơi bày dữ liệu di truyền cho các tìm kiếm thực thi pháp luật mà không có sự đồng ý của người dùng.
- Ancestry’s RootsWeb (2017): Thông tin xác thực người dùng bị rò rỉ thông qua một máy chủ được cấu hình sai, mặc dù không có dữ liệu di truyền nào bị xâm phạm [10].
Mẫu chìa khóa?Credential-based breaches and weak privacy controlslặp đi lặp lại cho phép tiếp xúc dữ liệu hàng loạt. vi phạm 23andMe nổi bật với quy mô tiếp xúc genomic của nó và hậu quả kinh doanh dài hạn của nó.
6. 23andMe Breach: Lessons and Security Recommendations
23andMe Breach: Bài học và khuyến nghị bảo mậtVụ vi phạm 23andMe nhấn mạnh một mô hình mà các nhóm an ninh mạng phải giải quyết: lạm dụng tính năng, xác thực yếu và sự tin tưởng quá mức vào các hệ thống được kết nối với nhau.
Key Security Takeaways
-
Mandate MFA by Default
Optional two-factor authentication doesn’t meet the threat model of consumer genomics. Platforms handling sensitive data must enforce MFA for all users—not just as a best practice, but as a formal requirement under OWASP ASVS 2.1.3 (Level 3)
-
Model for Feature Abuse, Not Just Exploits
DNA Relatives wasn’t “vulnerable” in the traditional sense—but became a powerful data-harvesting tool after account takeover. Security reviews must include abuse-case threat modeling, not just code audits.
-
Detect Anomalous Behavior and Limit Overuse
The attackers operated slowly and quietly. Behavioural monitoring and granular rate limiting are essential for catching “low-and-slow” attacks that bypass basic alerting.
-
Encrypt and Segment Critical Data Assets
MyHeritage avoided deeper fallout in 2018 because DNA data was logically separated and encrypted. 23andMe’s architecture exposed too much once authenticated. Access control must extend beyond login.
-
Practice Data Minimization by Design
Retention policies shouldn’t wait for litigation. Deleting dormant accounts and minimizing data collection reduces blast radius and aligns with modern privacy principles.
-
Detection Lag Is a Threat Multiplier
It took over five months for 23andMe to detect the breach. That’s five months of unchecked data exfiltration—long after the breach had gone public on criminal forums.
-
Cyber Insurance Doesn’t Guarantee Survival
Even though 23andMe’s policy reportedly covered $25M of a $30M legal settlement, it couldn’t salvage the brand or stop the downward spiral. Insurance is not a substitute for security.
-
Own the Narrative During Incident Response
Pointing fingers at users damaged trust. A strong response requires clear communication, visible change, and a shared sense of accountability.
For a closer look at what 23andMe actually fixed in the aftermath, Demyd Maiornykov breaks it down here.
Conclusion
Kết luận23 Và sự vi phạm sẽ được ghi nhớ không chỉ vì những gì đã được phơi bày, mà còn vì những gì nó đã tiết lộ:fragility of trust in platforms built on personal identity dataKhông giống như các vi phạm tại Equifax hoặc Anthem, vi phạm này chạm vào bản sắc di truyền - thông tin không thể thay đổi, hủy bỏ hoặc dễ dàng tái bảo đảm.
Để rõ ràng, sự vi phạm không đơn thuần chìm xuống công ty.Đó là đòn cuối cùng trong một cuộc khai thác lâu hơn. hiệu suất cổ phiếu đã giảm, và sự cố làm tăng mối quan tâm rộng lớn hơn về sự an toàn của nền tảng, khả năng kinh doanh và sự tin tưởng lâu dài của công chúng.
Ở đây cũng có những bài học cấu trúc sâu sắc hơn.Cyber insurance didn’t save the company.Thiệt hại danh tiếng quá lớn, và bước ngoặt để phát triển thuốc thất bại. thực hiện chiến lược không thể theo kịp với kỳ vọng của nhà đầu tư; về cơ bản, một xét nghiệm DNA một lần không phải là một mô hình kinh doanh bền vững.
Vụ vi phạm không phải là do một lỗi hoặc khai thác duy nhất. Đó là sản phẩm của các lựa chọn thiết kế hệ thống ưu tiên truy cập so với hạn chế.age of genomic and biometric data, cybersecurity must evolve beyond perimeter controlsNó phải bảo vệ các mối quan hệ giữa các tập dữ liệu, không chỉ riêng dữ liệu.
Đối với các công ty công nghệ sinh học, an ninh không còn có thể ngồi ở phía sau.woven into architecture, user experience, and data governance from day oneBởi vì trong genomics, niềm tin không phải là một giá trị gia tăng - đó là toàn bộ đề xuất giá trị.
Data breaches are evolving. Is your security strategy keeping up?
Các cuộc tấn công dữ liệu đang phát triển.Chiến lược bảo mật của bạn có tiếp tục không?Một check-the-box pentest sẽ không cắt nó nếu bạn đang xử lý dữ liệu genomic hoặc sức khỏe.real-world threat modelling,OWASP-driven testingvàcompliance-aligned reportsĐược xây dựng choHIPAA, FDA, and MDRmôi trường
→ Đặt mua biotech pentest của bạn hôm nay
References
References- Wikipedia - 23andMe Dữ liệu rò rỉ
- arXiv - Phân tích Credential Stuffing & 23andMe
- EFF - Phải làm gì nếu bạn lo lắng về vi phạm 23andMe
- Chiến lược rủi ro – Hiểu được sự xâm phạm của 23andMe và đảm bảo an ninh mạng
- BleepingComputer - 23andMe phải trả 30 triệu đô la trong giải quyết vi phạm dữ liệu di truyền
- Luật Bloomberg - 23andMe Demise Đặt thông tin DNA của 15 triệu người dùng trên Block đấu giá
- Reuters - 23andMe nộp hồ sơ cho chương 11 phá sản để bán bản thân
- FTC - 1Health (Vitagene) không bảo vệ dữ liệu DNA, thay đổi điều khoản bảo mật
- The Verge – MyHeritage xác nhận 92 triệu tài khoản người dùng bị xâm phạm
- Twingate – Ancestry Data Breach thông qua RootsWeb
- TechTarget - Trung tâm Chẩn đoán DNA đạt giải quyết 400.000 đô la sau khi vi phạm dữ liệu
- OWASP ASVS – Yêu cầu xác thực (2.1.3)
- Reuters: 56 triệu dấu vân tay bị đánh cắp trong vụ vi phạm OPM
- DarkOwl - 23andMe bị xâm phạm dữ liệu