基因技術業者23andMe證實外洩690萬名用戶資料

專門透過唾液來檢測人類基因，以溯源並提供健康報告的美國基因技術業者23andMe，在今年10月坦承駭客藉由憑證填充攻擊存取了該平臺上的用戶資料，當時僅說有0.1%的用戶資料遭到存取（約1.4萬名）不過，23andMe近日向《TechCrunch》證實，使用DNA Relatives服務的690萬名用戶個資也外洩了。

駭客是在今年10月1日宣稱駭進了23andMe，公布了100萬名猶太人與10萬名中國用戶的資料，同月再度宣稱取得其它400萬名23andMe用戶的資料。

駭客的行徑令23andMe立即展開調查，指出駭客是透過其它網站的外洩資料，於23andMe上進行憑證填充攻擊，僅危及0.1%的用戶，而且攻擊已受到控制。

然而，23andMe在上周更新的SEC文件中指出，除了這0.1%的用戶帳號之外，駭客還存取了大量包括其它使用者祖先資料的檔案，主要是因為這些使用者加入了DNA Relatives功能，並於網路上分享特定資料 ，23andMe正努力於公共網域上移除相關資料。

DNA Relatives為23andMe所提供的互動性功能，允許23andMe比對提供DNA的用戶，以找出用戶之間的親屬關係。

在《TechCrunch》的詢問下，23andMe表示駭客存取了550萬名加入DNA Relatives功能的用戶資料，包括他們的姓名、出生年份、關係標籤、血統報告與親屬間的DNS共享比例等，也存取了同樣加入DNA Relatives功能並分享族譜資訊的另外140萬名的用戶資料，包括姓名、出生年份、位置及關係標籤等。

23andMe在12月1日表示，已在第三方鑑證專家的協助下完成調查，並開始通知所有受影響的用戶，此外，該公司也要求所有用戶重置密碼，同時要求他們採用雙因素身分認證。