جینیاتی جانچ کرنے والی کمپنی 23andMe نے جمعہ کو اعلان کیا کہ ہیکرز نے کمپنی کے حالیہ ڈیٹا کی خلاف ورزی میں تقریباً 14,000 صارفین کے اکاؤنٹس تک رسائی حاصل کی۔
امریکی سیکیورٹیز اینڈ ایکسچینج کمیشن کے ساتھ ایک نئی فائلنگ میں جمعہ کو شائع ہونے والی کمپنی نے کہا کہ، اس واقعے کی تحقیقات کی بنیاد پر، اس نے یہ طے کیا ہے کہ ہیکرز نے اس کے 0.1 فیصد کسٹمر بیس تک رسائی حاصل کر لی ہے۔ کمپنی کی حالیہ سالانہ آمدنی کی رپورٹ کے مطابق، 23andMe کے “دنیا بھر میں 14 ملین سے زیادہ صارفین ہیں،” جس کا مطلب ہے کہ 0.1% تقریباً 14,000 ہے۔
لیکن کمپنی نے یہ بھی کہا کہ ان اکاؤنٹس تک رسائی حاصل کرکے، ہیکرز “ایک قابل ذکر تعداد میں فائلوں تک رسائی حاصل کرنے کے قابل بھی تھے جن میں دوسرے صارفین کے آباؤ اجداد کے بارے میں پروفائل کی معلومات شامل تھیں جنہیں ایسے صارفین نے 23andMe کے DNA Relatives فیچر میں آپٹ ان کرتے وقت شیئر کرنے کا انتخاب کیا تھا۔”
کمپنی نے یہ واضح نہیں کیا کہ فائلوں کی وہ “اہم تعداد” کیا ہے، اور نہ ہی ان میں سے کتنے “دیگر صارفین” متاثر ہوئے۔
23andMe نے فوری طور پر تبصرہ کی درخواست کا جواب نہیں دیا، جس میں ان نمبروں پر سوالات شامل تھے۔
اکتوبر کے شروع میں، 23andMe نے ایک واقعہ کا انکشاف کیا۔ جس میں ہیکرز نے ایک عام تکنیک کا استعمال کرتے ہوئے کچھ صارفین کا ڈیٹا چوری کیا تھا جسے “کریڈینشل اسٹفنگ” کہا جاتا ہے، جس کے تحت سائبر کرائمین ایک معلوم پاس ورڈ کا استعمال کرتے ہوئے متاثرہ کے اکاؤنٹ میں ہیک کرتے ہیں، جو شاید کسی اور سروس پر ڈیٹا کی خلاف ورزی کی وجہ سے لیک ہوا ہو۔
تاہم، نقصان ان صارفین کے ساتھ نہیں رکا جن کے اکاؤنٹس تک رسائی حاصل تھی۔ 23andMe صارفین کو ایک خصوصیت کا انتخاب کرنے کی اجازت دیتا ہے جسے کہا جاتا ہے۔ ڈی این اے رشتہ دار. اگر کوئی صارف اس خصوصیت کا انتخاب کرتا ہے، تو 23andMe اس صارف کی کچھ معلومات دوسروں کے ساتھ شیئر کرتا ہے۔ اس کا مطلب ہے کہ ایک شکار کے اکاؤنٹ تک رسائی حاصل کرکے، ہیکرز اس ابتدائی شکار سے جڑے لوگوں کا ذاتی ڈیٹا بھی دیکھنے کے قابل تھے۔
23andMe نے فائلنگ میں کہا کہ ابتدائی 14,000 صارفین کے لیے، چوری شدہ ڈیٹا میں “عام طور پر نسب کی معلومات شامل ہوتی ہیں، اور، ان اکاؤنٹس کے ذیلی سیٹ کے لیے، صارف کی جینیات کی بنیاد پر صحت سے متعلق معلومات۔” صارفین کے دوسرے ذیلی سیٹ کے لیے، 23andMe نے صرف یہ کہا کہ ہیکرز نے “پروفائل کی معلومات” چرائی اور پھر غیر متعینہ “مخصوص معلومات” آن لائن پوسٹ کیں۔
TechCrunch نے چوری شدہ ڈیٹا کے شائع شدہ سیٹوں کا موازنہ عوامی شجرہ نسب کے معروف ریکارڈوں سے کر کے تجزیہ کیا، بشمول شوق رکھنے والوں اور جینیالوجسٹس کی شائع کردہ ویب سائٹس۔ اگرچہ اعداد و شمار کے سیٹوں کو مختلف طریقے سے فارمیٹ کیا گیا تھا، لیکن ان میں کچھ وہی منفرد صارف اور جینیاتی معلومات تھیں جو برسوں پہلے آن لائن شائع ہونے والے نسب نامہ کے ریکارڈ سے مماثل تھیں۔
نسب کی ایک ویب سائٹ کے مالک، جس کے لیے ان کے رشتہ داروں کی معلومات میں سے کچھ کو 23andMe کے ڈیٹا کی خلاف ورزی میں بے نقاب کیا گیا تھا، نے TechCrunch کو بتایا کہ 23andMe کے ذریعے ان کے تقریباً 5,000 رشتہ دار دریافت ہوئے ہیں، اور کہا کہ ہمارے “رابطے اس کو مدنظر رکھ سکتے ہیں۔”
ڈیٹا کی خلاف ورزی کی خبریں۔ آن لائن منظر عام پر آیا اکتوبر میں جب ہیکرز نے ایک مشہور ہیکنگ فورم پر یہودی اشکنازی نسل کے 10 لاکھ صارفین اور 100,000 چینی صارفین کے مبینہ ڈیٹا کی تشہیر کی۔ تقریباً دو ہفتے بعد، وہی ہیکر جس نے ابتدائی چوری شدہ صارف کے ڈیٹا کی تشہیر کی۔ چار ملین مزید لوگوں کے مبینہ ریکارڈ کی تشہیر کی۔. ہیکر انفرادی متاثرین کا ڈیٹا $1 سے $10 میں فروخت کرنے کی کوشش کر رہا تھا۔
TechCrunch نے پایا کہ ایک اور ہیکر ایک مختلف ہیکنگ فورم پر ہے۔ دو ماہ قبل اس سے بھی زیادہ مبینہ طور پر صارف کا ڈیٹا چوری ہونے کی تشہیر کی تھی۔ وہ اشتہار جس کی ابتدائی طور پر خبر رساں اداروں نے اکتوبر میں اطلاع دی تھی۔ اس پہلے اشتہار میں، ہیکر نے چوری شدہ 23andMe صارف کے ڈیٹا کے 300 ٹیرا بائٹس کا دعویٰ کیا، اور پورا ڈیٹا بیس فروخت کرنے کے لیے $50 ملین، یا ڈیٹا کے ذیلی سیٹ کے لیے $1,000 سے $10,000 کے درمیان مانگا۔
ڈیٹا کی خلاف ورزی کے جواب میں، 10 اکتوبر کو، 23andMe نے صارفین کو اپنے پاس ورڈ کو دوبارہ ترتیب دینے اور تبدیل کرنے پر مجبور کیا اور انہیں ملٹی فیکٹر تصدیق کو آن کرنے کی ترغیب دی۔ اور 6 نومبر کو، نئی فائلنگ کے مطابق، کمپنی نے تمام صارفین سے دو قدمی تصدیق کا استعمال کرنے کا مطالبہ کیا۔
23andMe کی خلاف ورزی کے بعد، دیگر ڈی این اے ٹیسٹنگ کمپنیاں Ancestry اور MyHeritage دو عنصر کی توثیق کو لازمی قرار دینا شروع کر دیا۔
Source link
techcrunch.com