什么可以阻止 23andMe 黑客攻击？

Jeremy Hillpot8m2024/01/16

2023 年 10 月，23andMe 宣布发生数据泄露事件，涉及数百万用户的个人、基因和种族数据被盗，这些数据随后在暗网上出售。黑客采用“凭证填充”，使用从其他网站窃取的用户名/密码组合，利用用户重复使用密码的常见做法。这种方法甚至会暴露具有强密码的帐户，因为 23andMe 的“DNA亲戚”功能可以互连用户数据。该事件凸显了单纯依靠用户来保证密码安全的不足，强调网站需要加强访问控制措施。讨论了传统密码安全的替代方案，包括密码管理器、多重身份验证 (MFA)、YubiKey 等物理安全密钥、Cisco Duo 等全面安全解决方案、Google Authenticator 等身份验证器应用程序以及 Invysta 等创新技术，Invysta 将登录设备变成物理安全密钥。每个选项都有其自己的优点、挑战和弱点。该文章强调了数字安全不断发展的本质，特别是随着 DNA 信息等个人数据和敏感数据在网上越来越多地可用，敦促采用先进的网络安全措施来防止此类泄露。

以下是 23andMe 黑客攻击的发生过程以及不同的登录访问控制解决方案如何阻止它。

2023 年 10 月 10 日，23andMe 宣布不良行为者窃取了数百万用户的个人、遗传和种族数据。更令人震惊的是，黑客在暗网上出售这些数据，包括 23andMe 用户的姓名、照片、位置和遗传血统信息，这可能使受害者成为基于种族的攻击目标。

本文着眼于 23andMe 黑客攻击是如何发生的，最重要的是，各种登录访问控制技术如何帮助 23andMe 从一开始就阻止这种黑客攻击的发生。

黑客是如何侵入 23andMe 的？

23andMe 黑客使用了“凭证填充”，这种漏洞依赖于大多数人在不同网站上使用相同的用户名/密码组合这一事实。基本上，黑客从另一个被黑客攻击的网站获取用户名/密码组合列表，然后在他们想要攻击的网站上进行尝试。

一个很好的例子是RockYou2021数据库。这是一个公开的暗网文件，其中包含来自不同网站的 84 亿份被盗凭据。很可能，您在此列表或其他列表中的一些凭据已被泄露，这就是为什么在每个网站上使用唯一密码如此重要的原因。

据《华盛顿邮报》报道”，“在地下论坛上出售数据的在线帖子称，买家可以花 1,000 美元购买 100 个个人资料，或者花 100,000 美元购买多达 100,000 个个人资料。”此次泄露影响了大约 1400 万个账户。

为什么 23andMe 容易受到撞库攻击？

据TechCrunch报道：

“23andMe 将这一事件归咎于其客户重复使用密码以及名为DNA 亲属的选择加入功能，该功能允许用户查看基因数据与其匹配的其他选择加入用户的数据。如果用户打开了这一功能，理论上来说，黑客就可以通过闯入单个用户的帐户来获取多个用户的数据。”

如果您犯有重复使用密码的错误（我们大多数人都是如此），那么您很容易受到此类黑客攻击。但将错误的密码做法归咎于客户并不公平。具有强密码的 23andMe 帐户也容易受到攻击。由于“DNA亲属”程序连接用户数据的方式，弱密码账户暴露了强密码账户。

最终，在访问控制方面，依赖用户采用良好的密码实践是一种失败的策略。据最新统计：

13%的人在所有帐户中重复使用相同的密码（ 2019 年 Google 研究）
52% 的人在多个帐户中使用相同的方法（ 2019 年谷歌研究）
只有 35% （负责的人）为每个帐户使用不同的密码（ 2019 年谷歌研究）
2022 年， 81%已确认的违规行为是由于密码较弱、重复使用或被盗造成的（ LastPass 报告）

根据这些统计数据，很容易得出结论：网站管理员不能依靠用户养成良好的密码习惯。这使网站所有者有明确的责任来实施更好的登录/访问措施。

像 1Password 这样的密码管理器怎么样？

密码管理器为启动和跟踪唯一密码提供了一个很好的解决方案。大多数网络浏览器都包含免费的密码管理器，并且还有1password等付费服务。但您不能强迫每个客户都使用密码管理器。在社交媒体平台和 23andMe 等网站（客户可以连接并自动分享个人信息）上，未能采用良好密码习惯的用户将会危及那些采取良好密码习惯的用户。

此外，密码管理器也并非万无一失。如果黑客捕获了主密码，他们就会得到一切。网络钓鱼攻击（点击恶意链接并暴露您的凭据）也是一个问题。约克大学计算机科学系的 Siamak Shahandashti 博士在以下声明中强调了这些漏洞：

“密码管理器中的漏洞为黑客提供了提取凭证、泄露商业信息或侵犯员工信息的机会。由于密码管理器是许多敏感信息的看门人，因此对密码管理器进行严格的安全分析至关重要。

“我们的研究表明，来自恶意应用程序的网络钓鱼攻击是高度可行的 - 如果受害者被诱骗安装恶意应用程序，它将能够在自动填充提示中将自己呈现为合法选项，并且成功的机会很高。”

最终，密码管理器总比没有好，它们可以帮助您保持安全，但由于用户帐户互连和共享个人信息的方式，即使使用密码管理器的用户也容易受到 23andMe 攻击。必须采取更多措施来保护网站本身的帐户访问。

多重身份验证 (MFA) 怎么样？

为了提高登录安全性，许多网站使用多重身份验证 (MFA)。 MFA 有多种类型，最流行的解决方案包括通过短信或电子邮件发送临时 2 因素 (2FA) 密码，迫使用户执行额外但繁琐的身份验证步骤。

23andMe 没有向其用户提供 MFA。但即使有，基于短信和电子邮件的 MFA 解决方案也不像以前那么安全。在大多数情况下，电子邮件仅通过密码来保护。此外，黑客通过 SIM 卡交换来控制智能手机的情况也相对常见。事实上，这就是最近 SEC 的 Twitter 帐户遭到黑客攻击时发生的情况：

研究人员还一致认为，基于短信的 MFA 越来越容易受到黑客攻击。根据网络安全公司Proofpoint 的说法：

安全公司 Proofpoint 的研究人员在一份报告中表示：“与人们的预期相反，受 MFA（多重身份验证）保护的租户的账户接管行为有所增加。” “根据我们的数据，去年所有受感染的用户中至少有 35% 启用了 MFA。”

由于这些漏洞，公司像微软现在警告不要使用使用语音或短信身份验证的两因素策略。微软身份安全总监Alex Weinert 表示：

“这些机制 [基于短信的 2FA 策略] 基于公共交换电话网络 (PSTN)，我相信它们是当今可用的 MFA 方法中最不安全的。随着 MFA 的采用增加了攻击者破坏这些方法的兴趣，这种差距只会扩大 […] 然而，值得重复的是， MFA 是必不可少的- 我们正在讨论使用哪种MFA 方法，而不是是否使用 MFA。 ”

像 YubiKey 这样的物理安全密钥怎么样？

物理安全密钥（例如Yubico 的 Yubikey）是连接到手机或计算机的小型设备。这些为多因素身份验证过程添加了额外的物理“因素”。许多公司（例如 Google）要求员工在登录工作帐户时使用 Yubikeys。如果用户未连接密钥，他们将无法获得访问权限。

物理安全密钥增加了强大的安全层。然而，组织规模越大，这些策略的成本就越高。为大型组织的每位员工提供 Yubikey 的价格为每把 50 至 105 美元，价格昂贵。此外，发送和更换密钥的延迟和管理麻烦也会造成很大的负担。

然后你就有了拥有数百万用户的公共网站，例如 23andMe。要求公共网站或社交媒体平台的每个用户都购买 50 美元的硬件设备是不可能的。

像 Cisco Duo 这样的综合安全解决方案怎么样？

Cisco Duo和其他全面的安全服务提供高质量的双因素身份验证 (2FA) 和其他身份验证工具，可增强登录安全性，远远超出密码的范围。用户通过电话、推送通知和物理安全密钥等附加步骤确认访问。

Duo 等全面的安全服务非常适合拥有受控用户群的企业。然而，从成本角度来看，将它们扩展到 23andMe 或 Facebook 等网站上的数百万用户是不切实际的。

原因如下：

扩展成本： Duo 等综合安全服务按用户收费。从商业角度来看，对数百万个帐户收费是不切实际的。
用户摩擦： Duo 的多步骤身份验证可能会阻止某些用户，尤其是那些不熟悉 2FA 的用户。
运营复杂性：管理数百万个 Duo 帐户需要专用基础设施和资源。

像 Google Authenticator 这样的身份验证器应用解决方案怎么样？

强制使用 Google Authenticator 等 2FA 解决方案可能是保护 23andMe 用户的一种经济实惠的方式。然而，需要注意的是，Google Authenticator 存在一些重要漏洞：

网络钓鱼攻击：攻击者可以创建令人信服的虚假登录页面，窃取用户名、密码和一次性代码，从而允许黑客远程访问帐户。
社会工程：欺骗性策略可能会说服用户分享他们的一次性代码或下载暴露该代码的恶意软件。
云备份漏洞：许多用户都有基于云的备份来保存其身份验证器密钥。通过破坏云存储帐户，黑客可以访问此验证器数据。
用户摩擦： Google Authentator 要求用户下载额外的应用程序并输入安全密钥。然后，每次登录应用程序时，他们都需要将临时密码从应用程序传输到网站，这给登录过程增加了相当多的麻烦和摩擦。
身份验证器密钥拦截：将身份验证密钥代码传递给用户是一个漏洞。如果黑客拦截此代码或以某种方式获取它，整个 Google 身份验证过程就会受到损害，远程黑客可以从任何地方访问该帐户。

尽管存在这些漏洞，但与单独使用密码相比，Google Authenticator 和其他身份验证器应用程序仍显着提高了网站登录安全性。像这样的身份验证器系统本可以阻止 23andMe 凭证填充黑客攻击。

像 Invysta 那样将访问控制绑定到登录设备本身怎么样？

还有另一种解决方案可能有助于防止 23andMe 黑客攻击。这是一项基于软件的技术英威达科技集团,它可以立即将 23andMe 用户的登录设备转换为物理安全密钥，提供与物理安全密钥相同级别的安全性（无需实际密钥）。

Invysta 的工作原理是检测每个用户登录设备中发现的唯一硬件和软件标识符，并使用这些标识符来启动无法复制的“匿名访问密钥”。通过将 23andMe 用户的智能手机或笔记本电脑转变为物理安全密钥，Invysta 使拥有数百万用户的网站能够获得最高级别的访问安全性，而无需购买或分发额外的硬件，从而使远程黑客无法进行凭据填充攻击。

当然，Invysta 仍然是一项相对不为人知的技术，大多数网站所有者都不知道它的存在。然而，随着时间的推移，该解决方案可以在访问控制领域赢得作为强大且经济高效的策略的声誉。

最后的想法

本文研究了各种登录访问控制解决方案，这些解决方案可以帮助 23andMe 防止对其客户的攻击。但仅仅因为其中一些解决方案现在有效，并不意味着它们在未来会继续有效。

随着我们在网上分享更多有关我们自己和家人的详细信息（包括我们在 23andMe 等服务上的 DNA 和种族数据），不断发展的数字安全领域比以往任何时候都更加重要。事实上，这不再只是为了保障我们的财务生活。这是为了保护我们的家人免受仇恨犯罪、亲密隐私侵犯和其他可怕的漏洞的侵害。

随着这些危险在未来几年继续增加和变化，预计市场上将会出现更多的网络安全解决方案。通过尽早实施这些新技术，组织或许能够避免 23andMe 最近遭受的财务、声誉和人身安全损害。

L O A D I N G
. . . comments & more!

About Author

Jeremy Hillpot@hillpot

Jeremy Hillpot offers a unique perspective on the latest trends on blockchain, data, cryptocurrency, and agrotechnology.

Read my stories Follow Jeremy's blog on Medium.