Hier erfahren Sie, wie es zum 23andMe-Hack kam und wie verschiedene Lösungen zur Login-Zugriffskontrolle ihn hätten stoppen können.  Am 10. Oktober 2023 gab 23andMe bekannt, dass Kriminelle gestohlen haben  . Noch schockierender ist, dass die Hacker diese Daten – darunter Namen, Fotos, Standorte und Informationen zur genetischen Abstammung der 23andMe-Nutzer – im Dark Web verkauften, wodurch die Opfer möglicherweise aufgrund ihrer ethnischen Zugehörigkeit ins Visier genommen wurden.   die persönlichen, genetischen und ethnischen Daten von Millionen von Benutzern  In diesem Artikel wird untersucht, wie es zu dem 23andMe-Hack kam und vor allem, wie verschiedene Technologien zur Login-Zugriffskontrolle 23andMe dabei hätten helfen können, diesen Hack von vornherein zu verhindern.   Wie sind Hacker in 23andMe eingebrochen?  Die 23andMe-Hacker nutzten „Credential Stuffing“, einen Exploit, der auf der Tatsache beruht, dass die meisten Menschen auf verschiedenen Websites dieselben Kombinationen aus Benutzername und Passwort verwenden. Grundsätzlich nehmen die Hacker eine Liste mit Benutzernamen-/Passwortkombinationen von einer anderen Website, die gehackt wurde, und probieren sie auf der Website aus, die sie angreifen möchten.  Ein gutes Beispiel hierfür ist die  . Dabei handelt es sich um eine öffentlich zugängliche Dark-Web-Datei mit 8,4 Milliarden gestohlenen Zugangsdaten von verschiedenen Websites. Die Chancen stehen gut, dass Sie auf dieser oder einer anderen Liste kompromittierte Zugangsdaten haben, weshalb es so wichtig ist, auf jeder Website ein eindeutiges Passwort zu verwenden.   RockYou2021-Datenbank  „In Online-Posts, die die Daten in Untergrundforen zum Verkauf anbieten, heißt es, Käufer könnten 100 Profile für 1.000 US-Dollar oder sogar 100.000 für 100.000 US-Dollar erwerben.“ Der Verstoß betraf etwa 14 Millionen Konten.   Laut der Washington Post  Warum war 23andMe anfällig für Credential Stuffing?  Laut   : TechCrunch  „23andMe machte seine Kunden für den Vorfall verantwortlich, weil sie Passwörter und eine Opt-in-Funktion namens   wiederverwendeten, die es Benutzern ermöglicht, die Daten anderer angemeldeter Benutzer anzuzeigen, deren genetische Daten mit ihren übereinstimmen. Wenn ein Benutzer diese Funktion aktiviert hätte, wäre es Hackern theoretisch möglich, Daten von mehr als einem Benutzer abzugreifen, indem sie in das Konto eines einzelnen Benutzers eindringen.“ DNA Relatives  Wenn Sie sich der Wiederverwendung von Passwörtern schuldig machen (was bei den meisten von uns der Fall ist), dann sind Sie anfällig für diese Art von Hack. Aber es ist nicht wirklich fair, dem Kunden die Schuld für schlechte Passwortpraktiken zu geben. Auch 23andMe-Konten mit sicheren Passwörtern waren angreifbar. Aufgrund der Art und Weise, wie das Programm „DNA Relatives“ Benutzerdaten verknüpfte, wurden Konten mit schwachen Passwörtern von Konten mit starken Passwörtern entlarvt.  Wenn es um die Zugriffskontrolle geht, ist es letztendlich eine erfolglose Strategie, sich darauf zu verlassen, dass Benutzer gute Passwortpraktiken anwenden. Laut aktueller Statistik:    der Menschen verwenden dasselbe Passwort für alle Konten ( 13 %    ) Google-Studie 2019    nutzen dasselbe für mehrere Konten ( 52 %    ) Google-Studie 2019    (die Verantwortlichen) verwenden für jedes Konto ein anderes Passwort ( Nur 35 %    ) Google-Studie 2019    der bestätigten Verstöße im Jahr 2022 waren auf schwache, wiederverwendete oder gestohlene Passwörter zurückzuführen 81 %  (   )  LastPass-Bericht  Angesichts dieser Statistiken lässt sich leicht der Schluss ziehen, dass Website-Manager  Verlassen Sie sich darauf, dass Benutzer gute Passwortpraktiken entwickeln. Dadurch wird den Website-Eigentümern die klare Verantwortung auferlegt, bessere Anmelde-/Zugriffsmaßnahmen zu implementieren.  kann nicht  Was ist mit Passwort-Managern wie 1Password?  Passwort-Manager bieten eine großartige Lösung zum Erstellen und Verfolgen eindeutiger Passwörter. Die meisten Webbrowser enthalten einen kostenlosen Passwort-Manager, und es gibt kostenpflichtige Dienste wie   . Aber Sie können nicht jeden Kunden dazu zwingen, einen Passwort-Manager zu verwenden. Auf Social-Media-Plattformen und Websites wie 23andMe, auf denen sich Kunden vernetzen und automatisch persönliche Informationen weitergeben, gefährden Benutzer, die keine guten Passwortpraktiken anwenden, diejenigen, die dies tun. 1password  Außerdem sind Passwort-Manager nicht narrensicher. Wenn ein Hacker das Master-Passwort erbeutet, bekommt er ALLES. Phishing-Angriffe, bei denen Sie auf einen schädlichen Link klicken und Ihre Anmeldedaten preisgeben, stellen ebenfalls ein Problem dar. Dr. Siamak Shahandashti vom Department of Computer Science der University of York   : hat diese Schwachstellen in der folgenden Stellungnahme hervorgehoben  „Schwachstellen in Passwort-Managern bieten Hackern die Möglichkeit, Zugangsdaten abzugreifen, Geschäftsinformationen zu kompromittieren oder Mitarbeiterinformationen zu verletzen. Da sie als Gatekeeper für viele vertrauliche Informationen fungieren, ist eine gründliche Sicherheitsanalyse von Passwort-Managern von entscheidender Bedeutung.  „Unsere Studie zeigt, dass ein Phishing-Angriff von einer bösartigen App aus durchaus machbar ist – wenn ein Opfer dazu verleitet wird, eine bösartige App zu installieren, kann sie sich in der Autofill-Eingabeaufforderung als legitime Option präsentieren und hat eine hohe Erfolgschance.“  Letztendlich sind Passwort-Manager besser als nichts – und sie können Ihnen helfen,   zu bleiben, aber selbst die Benutzer mit Passwort-Managern waren beim 23andMe-Angriff aufgrund der Art und Weise, wie Benutzerkonten miteinander verbunden waren und persönliche Informationen weitergaben, anfällig.  sicherer Es muss noch mehr getan werden, um den Kontozugriff durch die Websites selbst zu schützen.   Was ist mit der Multi-Faktor-Authentifizierung (MFA)?  Um die Anmeldesicherheit zu erhöhen, verwenden viele Websites die Multi-Faktor-Authentifizierung (MFA). Es gibt viele Arten von MFA, und die gängigsten Lösungen beinhalten das Versenden eines temporären 2-Faktor-Passcodes (2FA) per SMS oder E-Mail, wodurch Benutzer gezwungen werden, einen zusätzlichen, aber langwierigen Authentifizierungsschritt durchzuführen.  23andMe hat seinen Benutzern kein MFA angeboten. Aber selbst wenn dies der Fall wäre, sind SMS- und E-Mail-basierte MFA-Lösungen nicht mehr so sicher wie früher. In den meisten Fällen sind E-Mails nur durch ein Passwort geschützt. Außerdem kommt es relativ häufig vor, dass Hacker durch SIM-Tausch die Kontrolle über ein Smartphone erlangen. Tatsächlich geschah Folgendes beim   :  jüngsten Hack des Twitter-Kontos der SEC  Forscher sind sich außerdem einig, dass SMS-basierte MFA zunehmend anfällig für Hackerangriffe ist. Laut dem Cybersicherheitsunternehmen   : Proofpoint  „Im Gegensatz zu dem, was man erwarten könnte, gab es eine Zunahme von Kontoübernahmen bei Mietern, die über einen MFA-Schutz (Multi-Faktor-Authentifizierung) verfügen“, sagten Forscher des Sicherheitsunternehmens Proofpoint in einem Bericht. „Unseren Daten zufolge hatten mindestens 35 % aller kompromittierten Benutzer im vergangenen Jahr MFA aktiviert.“  Aufgrund dieser Schwachstellen haben Unternehmen  warnen jetzt vor der Verwendung von 2-Faktor-Strategien, die eine Sprach- oder SMS-Authentifizierung nutzen.   , Microsoft-Direktor für Identitätssicherheit:   wie Microsoft Laut Alex Weinert  „Diese Mechanismen [SMS-basierte 2FA-Strategien] basieren auf öffentlich vermittelten Telefonnetzen (PSTN) und ich glaube, dass sie die am wenigsten sichere der heute verfügbaren MFA-Methoden sind. Diese Kluft wird sich nur vergrößern, wenn die Einführung von   das Interesse der Angreifer daran steigert,   Methoden   knacken. ” MFA diese zu     Was ist mit physischen Sicherheitsschlüsseln wie YubiKey?  Physische Sicherheitsschlüssel – wie der   – sind kleine Geräte, die Sie an Ihr Telefon oder Ihren Computer anschließen. Diese fügen dem Multifaktor-Authentifizierungsprozess einen zusätzlichen physischen „Faktor“ hinzu. Viele Unternehmen wie Google verlangen von ihren Mitarbeitern, dass sie Yubikeys verwenden, wenn sie sich bei ihren Arbeitskonten anmelden. Wenn ein Benutzer den Schlüssel nicht anschließt, kann er keinen Zugriff erhalten. Yubikey von Yubico  Physische Sicherheitsschlüssel sorgen für eine leistungsstarke Sicherheitsebene. Allerdings werden diese Strategien umso teurer, je größer eine Organisation wird. Mit einem Preis von 50 bis 105 US-Dollar pro Schlüssel ist es teuer, jedem Mitarbeiter einer großen Organisation Yubikeys zur Verfügung zu stellen. Darüber hinaus stellen die Verzögerungen und der Verwaltungsaufwand beim Versenden und Ersetzen von Schlüsseln eine erhebliche Belastung dar.  Dann gibt es öffentliche Websites – wie 23andMe – mit Millionen von Benutzern. Es kommt nicht in Frage, von jedem Benutzer einer öffentlichen Website oder Social-Media-Plattform den Kauf eines Hardwaregeräts für 50 US-Dollar zu verlangen.   Wie wäre es mit umfassenden Sicherheitslösungen wie Cisco Duo?    und andere umfassende Sicherheitsdienste bieten hochwertige Zwei-Faktor-Authentifizierung (2FA) und andere Authentifizierungstools, um die Anmeldesicherheit weit über Passwörter hinaus zu verbessern. Benutzer bestätigen den Zugriff durch zusätzliche Schritte wie Telefonanrufe, Push-Benachrichtigungen und physische Sicherheitsschlüssel. Cisco Duo  Umfassende Sicherheitsdienste wie Duo sind ideal für Unternehmen mit kontrollierter Benutzerbasis. Allerdings wäre es aus Kostengründen nicht praktikabel, sie so zu skalieren, dass sie für Millionen von Benutzern auf einer Website wie 23andMe oder Facebook funktionieren.  Hier ist der Grund:    Umfassende Sicherheitsdienste wie Duo berechnen pro Benutzer. Eine Gebühr für Millionen von Konten wäre aus geschäftlicher Sicht nicht praktikabel. Kostenskalierung:    mehrstufige Authentifizierung von Duo kann einige Benutzer abschrecken, insbesondere diejenigen, die mit 2FA nicht vertraut sind. Benutzerreibung: Die    Die Verwaltung von Millionen Duo-Konten erfordert eine dedizierte Infrastruktur und Ressourcen. Operative Komplexität:  Wie wäre es mit einer Authentifizierungs-App-Lösung wie Google Authenticator?   Die Einführung einer 2FA-Lösung wie Google Authenticator hätte eine kostengünstige Möglichkeit sein können, 23andMe-Benutzer zu schützen. Es ist jedoch wichtig zu beachten, dass Google Authenticator einige wichtige Schwachstellen aufweist:    Angreifer können überzeugende gefälschte Anmeldeseiten erstellen, die Benutzernamen, Passwörter und Einmalcodes stehlen und es Hackern ermöglichen, aus der Ferne auf ein Konto zuzugreifen. Phishing-Angriffe:    Betrügerische Taktiken könnten Benutzer dazu verleiten, ihre Einmalcodes weiterzugeben oder Malware herunterzuladen, die diese offenlegt. Social Engineering:    Viele Benutzer verfügen über cloudbasierte Backups, die ihre Authentifizierungsschlüssel speichern. Durch die Kompromittierung eines Cloud-Speicherkontos könnten Hacker auf diese Authentifizierungsdaten zugreifen. Sicherheitslücke bei Cloud-Backups:      Google Authentator erfordert, dass Benutzer eine zusätzliche App herunterladen und einen Sicherheitsschlüssel eingeben. Dann müssen sie jedes Mal, wenn sie sich bei der App anmelden, einen temporären Passcode von der App auf die Website übertragen, was den Anmeldevorgang erheblich aufwändiger und reibungsloser macht. Benutzerreibung :    Die Übermittlung des Authentifizierungsschlüsselcodes an den Benutzer stellt eine Schwachstelle dar. Wenn Hacker diesen Code abfangen oder auf andere Weise an ihn gelangen, ist der gesamte Google-Authentifizierungsprozess gefährdet und Remote-Hacker können von überall auf das Konto zugreifen. Abfangen des Authentifizierungsschlüssels:  Trotz dieser Schwachstellen verbessern Google Authenticator und andere Authentifizierungs-Apps die Anmeldesicherheit auf Websites im Vergleich zu Passwörtern allein erheblich. Ein solches Authentifizierungssystem hätte den 23andMe-Credential-Stuffing-Hack im Keim ersticken können.  Wie wäre es mit der Bindung der Zugriffskontrolle an das Anmeldegerät selbst, wie es Invysta tut?  Es gibt eine andere Lösung, die möglicherweise funktioniert hat, um den 23andMe-Hack zu verhindern. Dabei handelt es sich um eine softwarebasierte Technologie von  Dadurch hätten die Anmeldegeräte von 23andMe-Benutzern sofort in physische Sicherheitsschlüssel umgewandelt werden können, die das gleiche Maß an Sicherheit wie ein physischer Sicherheitsschlüssel bieten (ohne dass der eigentliche Schlüssel erforderlich wäre).    , Invysta Technology Group  Invysta erkennt die eindeutigen Hardware- und Software-Identifikatoren, die in jedem Benutzer-Anmeldegerät zu finden sind, und verwendet diese Identifikatoren, um einen nicht replizierbaren „anonymen Zugriffsschlüssel“ zu erstellen. Indem Invysta die Smartphones oder Laptops von 23andMe-Benutzern in physische Sicherheitsschlüssel umwandelt, ermöglicht Invysta Websites mit Millionen von Benutzern Zugriffssicherheit auf höchstem Niveau, ohne dass zusätzliche Hardware gekauft oder verteilt werden muss, wodurch es für Remote-Hacker unmöglich wird, Anmeldeinformationen einzuholen Stuffing-Attacke.  Natürlich ist Invysta immer noch eine relativ unbekannte Technologie und die meisten Websitebesitzer wissen nicht, dass es sie gibt. Mit der Zeit könnte sich diese Lösung jedoch einen Ruf als leistungsstarke und dennoch kostengünstige Strategie im Bereich der Zugangskontrolle aufbauen.   Abschließende Gedanken  In diesem Artikel wurden verschiedene Lösungen zur Login-Zugriffskontrolle untersucht, die 23andMe dabei hätten helfen können, den Angriff auf seine Kunden zu verhindern. Aber nur weil einige dieser Lösungen heute funktionieren, heißt das nicht, dass sie auch in Zukunft funktionieren werden.  Da wir online mehr Details über uns und unsere Familien teilen – einschließlich unserer DNA- und Ethnizitätsdaten auf Diensten wie 23andMe – ist der sich ständig weiterentwickelnde Bereich der digitalen Sicherheit wichtiger denn je. Tatsächlich geht es hier nicht mehr nur darum, unser finanzielles Leben zu sichern. Es geht darum, unsere Familien vor Hassverbrechen, Verletzungen der Privatsphäre und anderen schrecklichen Schwachstellen zu schützen.  Da diese Gefahren in den kommenden Jahren weiter zunehmen und sich ändern, ist damit zu rechnen, dass mehr Cybersicherheitslösungen auf den Markt kommen werden. Durch die frühzeitige Implementierung dieser neuen Technologien können Unternehmen möglicherweise die finanziellen, rufschädigenden und physischen Sicherheitsschäden vermeiden, die 23andMe in letzter Zeit erlitten hat.

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

This story will praise and/or roast a product, company, service, game, or anything else people like to review on the Internet.

Hot off the press! This story contains factual information about a recent event.

Dieses Audio ist in der Originalsprache der Geschichte produziert!

Zu lang; Lesen

Boost your HackerNoon story @ $159.99! 🚀

Was hätte den 23andMe-Hack stoppen können?

About Author

KOMMENTARE

Hängeetiketten

DIESER ARTIKEL WURDE VORGESTELLT IN

Related Stories

HackerNoon Decoded 2024: Celebrating Our Startups Community!

Genuine Content Creation in the Age of AI: Why Startups Need Quality Content

HackerNoon Decoded 2024: Celebrating Our Management Community!

HackerNoon's DeFi Writing Contest with SORA Network: XSTUSD Use Cases

HackerNoon Decoded 2024: Celebrating Our Startups Community!

Genuine Content Creation in the Age of AI: Why Startups Need Quality Content

HackerNoon Decoded 2024: Celebrating Our Management Community!

HackerNoon's DeFi Writing Contest with SORA Network: XSTUSD Use Cases

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps