基因检测公司23andMe证实黑客窃取了690万用户的祖先数据

周五，基因检测公司23andMe宣布，黑客直接访问了其0.1%客户的个人数据，即大约14000人。该公司还表示，通过访问这些账户，黑客还能够访问"大量包含其他用户祖先档案信息的文件"。但23andMe并未透露有多少"其他用户"受到了该公司最初于10月初披露的漏洞的影响。事实证明，有很多"其他用户"是这次数据泄露事件的受害者：总共有690万人受到影响。

23andMe发言人凯蒂-沃森（KatieWatson）在周六晚些时候发送给TechCrunch的一封电子邮件中证实，黑客获取了约550万人的个人信息，这些人选择了23andMe的DNA相关查询功能，该功能允许用户自动与他人共享部分数据。被窃取的数据包括个人姓名、出生年份、关系标签、与亲属共享的DNA比例、祖先报告和自我报告的位置。

发言人说，23andMe还证实，另一批选择加入DNARelatives的约140万人的"家庭树档案信息也被访问"，其中包括显示姓名、关系标签、出生年份、自我报告的地点以及用户是否决定共享其信息。(23andMe声明其电子邮件的部分内容为"背景信息"，要求双方事先同意相关条款）。

暂不清楚23andMe为什么没有在周五披露这些数据。考虑到新加入的数据，实际上，此次数据泄露事件影响到23andMe总共1400万客户中的大约一半。

10月初，一名黑客在一个知名黑客论坛上发帖，声称窃取了23andMe用户的DNA信息。作为漏洞的证据，该黑客公布了据称是100万名犹太阿什肯纳兹后裔用户和10万名中国用户的数据，并要求潜在买家以每个个人账户1到10美元的价格购买这些数据。两周后，同一黑客又在同一黑客论坛上公布了另外400万人的所谓记录。

随后，另一名黑客在另一个黑客论坛上发布了一批据称被盗的23andMe客户数据的广告，而这一广告早在被广泛报道的两个月前就已经发布了。

当分析几个月前泄露的数据时不难发现一些记录与业余爱好者和家谱学家在网上公布的基因数据相吻合。两组信息格式不同，但包含一些相同的唯一用户和通用数据，这表明黑客泄露的数据至少部分是真实的23andMe客户数据。

23andMe在今年10月披露这一事件时表示，数据泄露是由于客户重复使用密码造成的，这使得黑客可以利用其他公司数据泄露事件中公开的密码对受害者的账户进行暴力破解。由于DNARelatives功能可以将用户与其亲属进行匹配，黑客通过入侵一个个人账户，就可以看到账户持有人及其亲属的个人数据，这就放大了23andMe受害者的总人数。