paint-brush
Was hätte den 23andMe-Hack stoppen können?von@hillpot
875 Lesungen
875 Lesungen

Was hätte den 23andMe-Hack stoppen können?

von Jeremy Hillpot8m2024/01/16
Read on Terminal Reader

Zu lang; Lesen

Im Oktober 2023 kündigte 23andMe einen Datenverstoß an, bei dem persönliche, genetische und ethnische Daten von Millionen von Nutzern gestohlen und anschließend im Dark Web verkauft wurden. Die Hacker nutzten „Credential Stuffing“, indem sie von anderen Websites gestohlene Kombinationen aus Benutzername und Passwort nutzten und dabei die übliche Praxis der Benutzer zur Wiederverwendung von Passwörtern ausnutzten. Diese Methode deckte sogar Konten mit starken Passwörtern auf, da die „DNA Relatives“ von 23andMe über miteinander verbundene Benutzerdaten verfügen. Der Vorfall verdeutlicht die Unzulänglichkeit, sich bei der Passwortsicherheit ausschließlich auf Benutzer zu verlassen, und unterstreicht die Notwendigkeit strengerer Zugriffskontrollmaßnahmen durch Websites. Es werden Alternativen zur herkömmlichen Passwortsicherheit diskutiert, darunter Passwortmanager, Multi-Faktor-Authentifizierung (MFA), physische Sicherheitsschlüssel wie YubiKey, umfassende Sicherheitslösungen wie Cisco Duo, Authentifizierungs-Apps wie Google Authenticator und innovative Technologien wie Invysta, das Anmeldegeräte in verwandelt physische Sicherheitsschlüssel. Jede Option bietet ihre eigenen Vorteile, Herausforderungen und Schwachstellen. Der Artikel betont die sich weiterentwickelnde Natur der digitalen Sicherheit, insbesondere da persönliche und sensible Daten wie DNA-Informationen zunehmend online verfügbar werden, und fordert die Einführung fortschrittlicher Cybersicherheitsmaßnahmen, um solche Verstöße zu verhindern.
featured image - Was hätte den 23andMe-Hack stoppen können?
Jeremy Hillpot HackerNoon profile picture
0-item
1-item
2-item
3-item


Hier erfahren Sie, wie es zum 23andMe-Hack kam und wie verschiedene Lösungen zur Login-Zugriffskontrolle ihn hätten stoppen können.


Am 10. Oktober 2023 gab 23andMe bekannt, dass Kriminelle gestohlen haben die persönlichen, genetischen und ethnischen Daten von Millionen von Benutzern . Noch schockierender ist, dass die Hacker diese Daten – darunter Namen, Fotos, Standorte und Informationen zur genetischen Abstammung der 23andMe-Nutzer – im Dark Web verkauften, wodurch die Opfer möglicherweise aufgrund ihrer ethnischen Zugehörigkeit ins Visier genommen wurden.


In diesem Artikel wird untersucht, wie es zu dem 23andMe-Hack kam und vor allem, wie verschiedene Technologien zur Login-Zugriffskontrolle 23andMe dabei hätten helfen können, diesen Hack von vornherein zu verhindern.


Wie sind Hacker in 23andMe eingebrochen?


Die 23andMe-Hacker nutzten „Credential Stuffing“, einen Exploit, der auf der Tatsache beruht, dass die meisten Menschen auf verschiedenen Websites dieselben Kombinationen aus Benutzername und Passwort verwenden. Grundsätzlich nehmen die Hacker eine Liste mit Benutzernamen-/Passwortkombinationen von einer anderen Website, die gehackt wurde, und probieren sie auf der Website aus, die sie angreifen möchten.


Ein gutes Beispiel hierfür ist die RockYou2021-Datenbank . Dabei handelt es sich um eine öffentlich zugängliche Dark-Web-Datei mit 8,4 Milliarden gestohlenen Zugangsdaten von verschiedenen Websites. Die Chancen stehen gut, dass Sie auf dieser oder einer anderen Liste kompromittierte Zugangsdaten haben, weshalb es so wichtig ist, auf jeder Website ein eindeutiges Passwort zu verwenden.


Laut der Washington Post „In Online-Posts, die die Daten in Untergrundforen zum Verkauf anbieten, heißt es, Käufer könnten 100 Profile für 1.000 US-Dollar oder sogar 100.000 für 100.000 US-Dollar erwerben.“ Der Verstoß betraf etwa 14 Millionen Konten.


Warum war 23andMe anfällig für Credential Stuffing?


Laut TechCrunch :


„23andMe machte seine Kunden für den Vorfall verantwortlich, weil sie Passwörter und eine Opt-in-Funktion namens DNA Relatives wiederverwendeten, die es Benutzern ermöglicht, die Daten anderer angemeldeter Benutzer anzuzeigen, deren genetische Daten mit ihren übereinstimmen. Wenn ein Benutzer diese Funktion aktiviert hätte, wäre es Hackern theoretisch möglich, Daten von mehr als einem Benutzer abzugreifen, indem sie in das Konto eines einzelnen Benutzers eindringen.“


Wenn Sie sich der Wiederverwendung von Passwörtern schuldig machen (was bei den meisten von uns der Fall ist), dann sind Sie anfällig für diese Art von Hack. Aber es ist nicht wirklich fair, dem Kunden die Schuld für schlechte Passwortpraktiken zu geben. Auch 23andMe-Konten mit sicheren Passwörtern waren angreifbar. Aufgrund der Art und Weise, wie das Programm „DNA Relatives“ Benutzerdaten verknüpfte, wurden Konten mit schwachen Passwörtern von Konten mit starken Passwörtern entlarvt.


Wenn es um die Zugriffskontrolle geht, ist es letztendlich eine erfolglose Strategie, sich darauf zu verlassen, dass Benutzer gute Passwortpraktiken anwenden. Laut aktueller Statistik:


  • 13 % der Menschen verwenden dasselbe Passwort für alle Konten ( Google-Studie 2019 )
  • 52 % nutzen dasselbe für mehrere Konten ( Google-Studie 2019 )
  • Nur 35 % (die Verantwortlichen) verwenden für jedes Konto ein anderes Passwort ( Google-Studie 2019 )
  • 81 % der bestätigten Verstöße im Jahr 2022 waren auf schwache, wiederverwendete oder gestohlene Passwörter zurückzuführen ( LastPass-Bericht )



Angesichts dieser Statistiken lässt sich leicht der Schluss ziehen, dass Website-Manager kann nicht Verlassen Sie sich darauf, dass Benutzer gute Passwortpraktiken entwickeln. Dadurch wird den Website-Eigentümern die klare Verantwortung auferlegt, bessere Anmelde-/Zugriffsmaßnahmen zu implementieren.


Was ist mit Passwort-Managern wie 1Password?


Passwort-Manager bieten eine großartige Lösung zum Erstellen und Verfolgen eindeutiger Passwörter. Die meisten Webbrowser enthalten einen kostenlosen Passwort-Manager, und es gibt kostenpflichtige Dienste wie 1password . Aber Sie können nicht jeden Kunden dazu zwingen, einen Passwort-Manager zu verwenden. Auf Social-Media-Plattformen und Websites wie 23andMe, auf denen sich Kunden vernetzen und automatisch persönliche Informationen weitergeben, gefährden Benutzer, die keine guten Passwortpraktiken anwenden, diejenigen, die dies tun.


Außerdem sind Passwort-Manager nicht narrensicher. Wenn ein Hacker das Master-Passwort erbeutet, bekommt er ALLES. Phishing-Angriffe, bei denen Sie auf einen schädlichen Link klicken und Ihre Anmeldedaten preisgeben, stellen ebenfalls ein Problem dar. Dr. Siamak Shahandashti vom Department of Computer Science der University of York hat diese Schwachstellen in der folgenden Stellungnahme hervorgehoben :


„Schwachstellen in Passwort-Managern bieten Hackern die Möglichkeit, Zugangsdaten abzugreifen, Geschäftsinformationen zu kompromittieren oder Mitarbeiterinformationen zu verletzen. Da sie als Gatekeeper für viele vertrauliche Informationen fungieren, ist eine gründliche Sicherheitsanalyse von Passwort-Managern von entscheidender Bedeutung.


„Unsere Studie zeigt, dass ein Phishing-Angriff von einer bösartigen App aus durchaus machbar ist – wenn ein Opfer dazu verleitet wird, eine bösartige App zu installieren, kann sie sich in der Autofill-Eingabeaufforderung als legitime Option präsentieren und hat eine hohe Erfolgschance.“


Letztendlich sind Passwort-Manager besser als nichts – und sie können Ihnen helfen, sicherer zu bleiben, aber selbst die Benutzer mit Passwort-Managern waren beim 23andMe-Angriff aufgrund der Art und Weise, wie Benutzerkonten miteinander verbunden waren und persönliche Informationen weitergaben, anfällig. Es muss noch mehr getan werden, um den Kontozugriff durch die Websites selbst zu schützen.


Was ist mit der Multi-Faktor-Authentifizierung (MFA)?


Um die Anmeldesicherheit zu erhöhen, verwenden viele Websites die Multi-Faktor-Authentifizierung (MFA). Es gibt viele Arten von MFA, und die gängigsten Lösungen beinhalten das Versenden eines temporären 2-Faktor-Passcodes (2FA) per SMS oder E-Mail, wodurch Benutzer gezwungen werden, einen zusätzlichen, aber langwierigen Authentifizierungsschritt durchzuführen.


23andMe hat seinen Benutzern kein MFA angeboten. Aber selbst wenn dies der Fall wäre, sind SMS- und E-Mail-basierte MFA-Lösungen nicht mehr so sicher wie früher. In den meisten Fällen sind E-Mails nur durch ein Passwort geschützt. Außerdem kommt es relativ häufig vor, dass Hacker durch SIM-Tausch die Kontrolle über ein Smartphone erlangen. Tatsächlich geschah Folgendes beim jüngsten Hack des Twitter-Kontos der SEC :





Forscher sind sich außerdem einig, dass SMS-basierte MFA zunehmend anfällig für Hackerangriffe ist. Laut dem Cybersicherheitsunternehmen Proofpoint :


„Im Gegensatz zu dem, was man erwarten könnte, gab es eine Zunahme von Kontoübernahmen bei Mietern, die über einen MFA-Schutz (Multi-Faktor-Authentifizierung) verfügen“, sagten Forscher des Sicherheitsunternehmens Proofpoint in einem Bericht. „Unseren Daten zufolge hatten mindestens 35 % aller kompromittierten Benutzer im vergangenen Jahr MFA aktiviert.“


Aufgrund dieser Schwachstellen haben Unternehmen wie Microsoft warnen jetzt vor der Verwendung von 2-Faktor-Strategien, die eine Sprach- oder SMS-Authentifizierung nutzen. Laut Alex Weinert , Microsoft-Direktor für Identitätssicherheit:


„Diese Mechanismen [SMS-basierte 2FA-Strategien] basieren auf öffentlich vermittelten Telefonnetzen (PSTN) und ich glaube, dass sie die am wenigsten sichere der heute verfügbaren MFA-Methoden sind. Diese Kluft wird sich nur vergrößern, wenn die Einführung von MFA das Interesse der Angreifer daran steigert, diese Methoden zu knacken. ”


Was ist mit physischen Sicherheitsschlüsseln wie YubiKey?



Physische Sicherheitsschlüssel – wie der Yubikey von Yubico – sind kleine Geräte, die Sie an Ihr Telefon oder Ihren Computer anschließen. Diese fügen dem Multifaktor-Authentifizierungsprozess einen zusätzlichen physischen „Faktor“ hinzu. Viele Unternehmen wie Google verlangen von ihren Mitarbeitern, dass sie Yubikeys verwenden, wenn sie sich bei ihren Arbeitskonten anmelden. Wenn ein Benutzer den Schlüssel nicht anschließt, kann er keinen Zugriff erhalten.


Physische Sicherheitsschlüssel sorgen für eine leistungsstarke Sicherheitsebene. Allerdings werden diese Strategien umso teurer, je größer eine Organisation wird. Mit einem Preis von 50 bis 105 US-Dollar pro Schlüssel ist es teuer, jedem Mitarbeiter einer großen Organisation Yubikeys zur Verfügung zu stellen. Darüber hinaus stellen die Verzögerungen und der Verwaltungsaufwand beim Versenden und Ersetzen von Schlüsseln eine erhebliche Belastung dar.


Dann gibt es öffentliche Websites – wie 23andMe – mit Millionen von Benutzern. Es kommt nicht in Frage, von jedem Benutzer einer öffentlichen Website oder Social-Media-Plattform den Kauf eines Hardwaregeräts für 50 US-Dollar zu verlangen.


Wie wäre es mit umfassenden Sicherheitslösungen wie Cisco Duo?


Cisco Duo und andere umfassende Sicherheitsdienste bieten hochwertige Zwei-Faktor-Authentifizierung (2FA) und andere Authentifizierungstools, um die Anmeldesicherheit weit über Passwörter hinaus zu verbessern. Benutzer bestätigen den Zugriff durch zusätzliche Schritte wie Telefonanrufe, Push-Benachrichtigungen und physische Sicherheitsschlüssel.


Umfassende Sicherheitsdienste wie Duo sind ideal für Unternehmen mit kontrollierter Benutzerbasis. Allerdings wäre es aus Kostengründen nicht praktikabel, sie so zu skalieren, dass sie für Millionen von Benutzern auf einer Website wie 23andMe oder Facebook funktionieren.


Hier ist der Grund:


  • Kostenskalierung: Umfassende Sicherheitsdienste wie Duo berechnen pro Benutzer. Eine Gebühr für Millionen von Konten wäre aus geschäftlicher Sicht nicht praktikabel.
  • Benutzerreibung: Die mehrstufige Authentifizierung von Duo kann einige Benutzer abschrecken, insbesondere diejenigen, die mit 2FA nicht vertraut sind.
  • Operative Komplexität: Die Verwaltung von Millionen Duo-Konten erfordert eine dedizierte Infrastruktur und Ressourcen.


Wie wäre es mit einer Authentifizierungs-App-Lösung wie Google Authenticator?


Quelle: https://chrome.google.com/webstore/detail/authenticator/bhghoamapcdpbohphigoooaddinpkbai


Die Einführung einer 2FA-Lösung wie Google Authenticator hätte eine kostengünstige Möglichkeit sein können, 23andMe-Benutzer zu schützen. Es ist jedoch wichtig zu beachten, dass Google Authenticator einige wichtige Schwachstellen aufweist:

  • Phishing-Angriffe: Angreifer können überzeugende gefälschte Anmeldeseiten erstellen, die Benutzernamen, Passwörter und Einmalcodes stehlen und es Hackern ermöglichen, aus der Ferne auf ein Konto zuzugreifen.
  • Social Engineering: Betrügerische Taktiken könnten Benutzer dazu verleiten, ihre Einmalcodes weiterzugeben oder Malware herunterzuladen, die diese offenlegt.
  • Sicherheitslücke bei Cloud-Backups: Viele Benutzer verfügen über cloudbasierte Backups, die ihre Authentifizierungsschlüssel speichern. Durch die Kompromittierung eines Cloud-Speicherkontos könnten Hacker auf diese Authentifizierungsdaten zugreifen.
  • Benutzerreibung : Google Authentator erfordert, dass Benutzer eine zusätzliche App herunterladen und einen Sicherheitsschlüssel eingeben. Dann müssen sie jedes Mal, wenn sie sich bei der App anmelden, einen temporären Passcode von der App auf die Website übertragen, was den Anmeldevorgang erheblich aufwändiger und reibungsloser macht.
  • Abfangen des Authentifizierungsschlüssels: Die Übermittlung des Authentifizierungsschlüsselcodes an den Benutzer stellt eine Schwachstelle dar. Wenn Hacker diesen Code abfangen oder auf andere Weise an ihn gelangen, ist der gesamte Google-Authentifizierungsprozess gefährdet und Remote-Hacker können von überall auf das Konto zugreifen.


Trotz dieser Schwachstellen verbessern Google Authenticator und andere Authentifizierungs-Apps die Anmeldesicherheit auf Websites im Vergleich zu Passwörtern allein erheblich. Ein solches Authentifizierungssystem hätte den 23andMe-Credential-Stuffing-Hack im Keim ersticken können.


Wie wäre es mit der Bindung der Zugriffskontrolle an das Anmeldegerät selbst, wie es Invysta tut?


Es gibt eine andere Lösung, die möglicherweise funktioniert hat, um den 23andMe-Hack zu verhindern. Dabei handelt es sich um eine softwarebasierte Technologie von Invysta Technology Group , Dadurch hätten die Anmeldegeräte von 23andMe-Benutzern sofort in physische Sicherheitsschlüssel umgewandelt werden können, die das gleiche Maß an Sicherheit wie ein physischer Sicherheitsschlüssel bieten (ohne dass der eigentliche Schlüssel erforderlich wäre).


Invysta erkennt die eindeutigen Hardware- und Software-Identifikatoren, die in jedem Benutzer-Anmeldegerät zu finden sind, und verwendet diese Identifikatoren, um einen nicht replizierbaren „anonymen Zugriffsschlüssel“ zu erstellen. Indem Invysta die Smartphones oder Laptops von 23andMe-Benutzern in physische Sicherheitsschlüssel umwandelt, ermöglicht Invysta Websites mit Millionen von Benutzern Zugriffssicherheit auf höchstem Niveau, ohne dass zusätzliche Hardware gekauft oder verteilt werden muss, wodurch es für Remote-Hacker unmöglich wird, Anmeldeinformationen einzuholen Stuffing-Attacke.


Natürlich ist Invysta immer noch eine relativ unbekannte Technologie und die meisten Websitebesitzer wissen nicht, dass es sie gibt. Mit der Zeit könnte sich diese Lösung jedoch einen Ruf als leistungsstarke und dennoch kostengünstige Strategie im Bereich der Zugangskontrolle aufbauen.


Abschließende Gedanken


In diesem Artikel wurden verschiedene Lösungen zur Login-Zugriffskontrolle untersucht, die 23andMe dabei hätten helfen können, den Angriff auf seine Kunden zu verhindern. Aber nur weil einige dieser Lösungen heute funktionieren, heißt das nicht, dass sie auch in Zukunft funktionieren werden.


Da wir online mehr Details über uns und unsere Familien teilen – einschließlich unserer DNA- und Ethnizitätsdaten auf Diensten wie 23andMe – ist der sich ständig weiterentwickelnde Bereich der digitalen Sicherheit wichtiger denn je. Tatsächlich geht es hier nicht mehr nur darum, unser finanzielles Leben zu sichern. Es geht darum, unsere Familien vor Hassverbrechen, Verletzungen der Privatsphäre und anderen schrecklichen Schwachstellen zu schützen.


Da diese Gefahren in den kommenden Jahren weiter zunehmen und sich ändern, ist damit zu rechnen, dass mehr Cybersicherheitslösungen auf den Markt kommen werden. Durch die frühzeitige Implementierung dieser neuen Technologien können Unternehmen möglicherweise die finanziellen, rufschädigenden und physischen Sicherheitsschäden vermeiden, die 23andMe in letzter Zeit erlitten hat.