Dữ liệu di truyền của nhiều người đang nằm trên Dark Web do dịch vụ 23andMe bị xâm phạm

Các dịch vụ phả hệ có thể cho bạn biết nhiều điều, nhưng bạn cũng phải giao nộp một số dữ liệu cá nhân rất nhạy cảm cho họ. Dữ liệu di truyền của bạn được bán trên dark web không phải chuyện đùa. Do vụ vi phạm dữ liệu của dịch vụ phả hệ này, đó chính xác là những gì đang xảy ra.

Dữ liệu di truyền của người dùng đang được bán trực tuyến

Công ty xét nghiệm DNA 23andMe đã phải trải qua một vụ vi phạm dữ liệu lớn vào năm 2023 khiến dữ liệu di truyền của hàng triệu khách hàng bị rò rỉ. Tin tặc đã có thể xâm phạm 14.000 tài khoản cá nhân và lấy cắp thông tin liên quan đến khoảng 6,9 triệu cá nhân được liệt kê là có thể có quan hệ họ hàng trên trang web.

Dữ liệu bị đánh cắp bao gồm:

• Tên
• Ngày sinh
• Thông tin địa lý
• Ảnh profile
• Chủng tộc
• Báo cáo sức khỏe
• Dân tộc
• Phả hệ

Sau vụ vi phạm dữ liệu, Văn phòng Ủy viên thông tin Vương quốc Anh (ICO) và Văn phòng Ủy viên bảo vệ quyền riêng tư của Canada (OPC) đã công bố một cuộc điều tra chung về vụ việc vào tháng 6 năm 2024. Một năm sau, cuộc điều tra đã kết thúc với khoản tiền phạt 2,31 triệu bảng Anh (3,13 triệu USD) cho 23andMe vì "vi phạm gây thiệt hại nghiêm trọng" như ICO đã công bố.

Cuộc điều tra cũng nêu bật những sự cố bảo mật tại thời điểm xảy ra vụ vi phạm. Công ty đã không áp dụng các biện pháp xác thực phù hợp, với việc thiếu xác thực đa yếu tố bắt buộc (MFA) và yêu cầu mật khẩu lỏng lẻo. 23andMe cũng không thực hiện bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu di truyền thô, không có "hệ thống hiệu quả để giám sát, phát hiện hoặc ứng phó với các mối đe dọa mạng nhắm vào thông tin nhạy cảm của khách hàng".

John Edwards, Ủy viên thông tin Vương quốc Anh, giải thích rõ:

23andMe đã không thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đầy đủ, các dấu hiệu cảnh báo đã có và công ty phản ứng chậm. Điều này khiến dữ liệu nhạy cảm nhất của mọi người dễ bị khai thác và gây hại.

Thái độ thờ ơ của 23andMe khi thừa nhận vi phạm cũng đã được chỉ ra. Vi phạm đầu tiên bắt đầu vào tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận vi phạm và bắt đầu một cuộc điều tra đầy đủ cho đến tháng 10 năm 2023, khi một nhân viên phát hiện ra dữ liệu bị đánh cắp đang được rao bán trên Reddit.

Việc bảo vệ dữ liệu bắt đầu từ chính bạn

Không giống như mật khẩu và thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu như vậy, bạn không thể chỉ cần thay đổi dữ liệu di truyền của mình. Một khi dữ liệu này được công khai, về cơ bản bạn sẽ bị xâm phạm suốt đời.

Vì vậy, mặc dù không có nhiều việc bạn có thể làm trong trường hợp này ngoại trừ việc cảnh giác về mọi nỗ lực lừa đảo hoặc đánh cắp danh tính, bạn vẫn có thể cố gắng bảo vệ mình khỏi các vi phạm trong tương lai. Thiết lập MFA cho các tài khoản trực tuyến và sử dụng mật khẩu mạnh, duy nhất cho từng tài khoản là một số bước cơ bản nhất mà bạn nên thực hiện để bảo vệ dấu vết kỹ thuật số của mình, bất kể nhà cung cấp dịch vụ có yêu cầu hay không. Việc bảo vệ xếp hạng tín dụng của bạn nếu bạn bị ảnh hưởng bởi vi phạm dữ liệu cũng rất quan trọng.

Ngoài ra, hãy cố gắng tránh sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm ngay từ đầu. Chắc chắn, việc tìm hiểu về tổ tiên của bạn nghe có vẻ thú vị, nhưng sự tò mò này không đáng để đánh cược với thông tin di truyền cực kỳ nhạy cảm có thể được sử dụng cho đủ mọi mục đích xấu.