แฮ็กเกอร์รายหนึ่งได้โฆษณาขายข้อมูลหลายล้านชิ้นที่ถูกขโมยจาก 23andMe ซึ่งเป็นเว็บไซต์ด้านเทคโนโลยีชีวภาพและพันธุกรรมของสหรัฐ
23andMe ให้บริการทดสอบทางพันธุกรรมแก่ลูกค้าที่ส่งตัวอย่างน้ำลายไปที่ห้องปฏิบัติการ และลูกค้าจะได้รับรายงานเกี่ยวกับบรรพบุรุษและความบกพร่องทางพันธุกรรม
เมื่อเร็ว ๆ นี้ แฮ็กเกอร์ได้ปล่อยตัวอย่างข้อมูลที่ถูกขโมยมาจากบริษัทด้านพันธุกรรมแห่งหนึ่ง และไม่กี่วันต่อมา แฮ็กเกอร์ก็ได้เสนอขายชุดข้อมูลของลูกค้า 23andMe บนฟอรัมออนไลน์แห่งหนึ่งที่บรรดาแฮ็กเกอร์ใช้ในการโฆษณาขายข้อมูล
ทั้งนี้ แฮ็กเกอร์ได้เสนอขายโปรไฟล์ข้อมูลบัญชีลูกค้าของ 23andMe จำนวนมากในราคา 1-10 ดอลลาร์ต่อบัญชี โดยขึ้นอยู่กับจำนวนที่ซื้อ
23andMe ระบุในแถลงการณ์เมื่อวันศุกร์ (6 ต.ค.) ว่า ข้อมูลโปรไฟล์ของลูกค้าได้ถูกรวบรวมผ่านการเข้าถึงบัญชี 23andMe.com แต่ละบัญชี ขณะที่ระบบของบริษัทไม่ได้ถูกแฮ็กแต่อย่างใด
“เราไม่มีข้อบ่งชี้ใด ๆ ในขณะนี้ว่า มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นกับข้อมูลภายในระบบของเรา” แถลงการณ์จาก 23andMe ระบุ
แถลงการณ์ยังระบุด้วยว่า แฮ็กเกอร์อาจรวบรวมรหัสผ่านที่ถูกขโมยจากเว็บไซต์อื่น ๆ และนำรหัสผ่านเหล่านั้นมาใช้ในการเข้าถึงบัญชีบน 23andMe ซึ่งเทคนิคนี้เรียกว่า credential stuffing โดยนำข้อมูลที่เคยรั่วไหลมาลองใช้ในการเข้าถึงบัญชีต่าง ๆ อีกครั้ง ซึ่งเป็นเหตุผลหนึ่งที่ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ไม่แนะนำให้ใช้รหัสผ่านเดียวกันสำหรับเว็บไซต์ต่าง ๆ และยังแนะนำว่า การป้องกันด้วยรหัสผ่านสองชั้นหรือที่เรียกว่าการยืนยันตัวตนแบบสองปัจจัย (two-factor authentication) นั้น สามารถช่วยขัดขวางการแฮ็กประเภทนี้ได้
——————————————————————————————————————————————
ที่มา : สำนักข่าวอินโฟเควสท์ / วันที่เผยแพร่ 12 ต.ค.66
Link : https://www.infoquest.co.th/2023/341145
