23andMe : 1백만명의 유대인 유전 정보 유출 - 보안기사 읽기 5주차 4일

23andMe 라는 유전정보들을 가지고 관리하는 회사에서 data breach가 이루어졌습니다.

 

 

처음에 다크웹에 Ashkenazi DNA Data of Celebrities.csv 라는 파일명으로

무료로 모든 정보들을 올렸지만

나중에는 판매글로 전환했습니다.

정보들은 1백만명의 유럽인 유대인에 대한 유전적인 특징, 생일, 지역정보까지 다량의 정보가 나와있습니다.

 

 

이에 대해 피해자들은 소송을 걸었구요.

내용은 왜 보안을 제대로 하지않았고, 

피해가 있는 후로 왜 바로 피해자와 기관에 알리지 않았으며 보안에 대한 자세한 내용을 알려주지 않았다는 점입니다.

 

이에 대해 회사 대변인은

직접적인 접근이 아니라 secured 계정에 대해 크리덴셜 스터핑으로 인해 뚫렸다고 하는데

변명처럼 들리기도 하고, 충분히 예방 가능한 부분아니였을까 싶습니다. 

 

문제는 

2FA를 적용하고, 비밀번호도 강력한 문자열로 했는 사람도 다 털렸다는 겁니다.

비밀번호가 평문으로 저장되어있다거나 

SQLi를 쉽게할수있는 보안 환경이라면 다 소용없습니다.