Perusahaan pengujian genetik AS 23andMe mengakui hampir 7 juta pelanggannya terkena dampak pembobolan keamanan siber dalam peretasan di awal Oktober.
Pada Jumat (1/12), perusahaan yang berbasis di California ini mengatakan dalam laporan keterbukaan kepada Securities and Exchange Comission (SEC), mengakui 0,1 persen data pribadi pelanggan (sekitar 14.000 orang) diakses oleh "aktor ancaman" pada 10 Oktober.
Namun laporan tersebut memperingatkan peretas juga dapat mengakses "sejumlah besar file yang berisi informasi profil tentang nenek moyang pengguna lain."
Perusahaan kemudian mengakui jumlah sebenarnya orang yang datanya bocor mencapai 6,9 juta, separuh dari total pelanggan 23andMe.
Juru bicara 23andMe Katie Watson, dikutip dari TechCrunch, mengakui peretas mengakses informasi pribadi sekitar 5,5 juta orang yang ikut serta dalam fitur DNA Relatives 23andMe.
Program ini memungkinkan pelanggan membagikan sebagian data mereka secara otomatis kepada orang lain.
Watson menyebut data yang dicuri termasuk nama orang, tahun lahir, label hubungan, persentase DNA yang dibagikan kepada kerabat, laporan soal leluhur, dan lokasi yang dilaporkan sendiri.
23andMe juga mengonfirmasi kelompok lain yang terdiri dari sekitar 1,4 juta orang yang ikut serta dalam DNA Relatives juga "mengakses informasi profil Pohon Keluarga mereka."
Hal ini, kata Watson, mencakup nama tampilan, label hubungan, tahun lahir, lokasi yang dilaporkan sendiri, dan apakah pengguna memutuskan untuk membagikan informasi mereka.
23andMe menyatakan sebagian emailnya sebagai "di latar belakang", yang mengharuskan kedua belah pihak menyetujui persyaratan terlebih dahulu. TechCrunch mencetak balasannya karena kami tidak diberi kesempatan untuk menolak persyaratan tersebut.
"Kami diberitahu bahwa informasi profil pelanggan 23andMe tertentu dikumpulkan melalui akses ke akun individu 23andMe.com," kata juru bicara perusahaan.
"Kami percaya pelaku ancaman mungkin, dengan melanggar ketentuan layanan kami, mengakses akun 23andme.com tanpa izin dan memperoleh informasi dari akun tersebut."
Teknik pembobolan
Kebocoran data itu sebenarnya sudah terungkap di BreachForums, forum berbagi data peretasan, dua bulan sebelumnya.
Melansir Wired, para peretas mengklaim sampel tersebut berisi 1 juta data khusus tentang Yahudi Ashkenazi (Ashkenazi Jews) dan ratusan ribu pengguna dari keturunan China.
"Fakta bahwa mereka mengklaim menargetkan populasi Yahudi atau selebriti, tidaklah mengejutkan. Ini mencerminkan kelemahan internet," kata Ronnie Tokazowski, seorang peneliti penipuan digital.
Peretas kemudian mulai menjual profil 23andMe dengan harga antara US$1 (Rp15 ribuan) dan US$10 (Rp150 ribuan) per akun, dengan informasi yang mencakup beberapa detail tentang hasil keturunan genetik, seperti "secara umum Eropa" atau "secara umum Arab."
Aktor jahat tersebut juga mengklaim menyertakan "beberapa selebritas". Entri data memperlihatkan pimpinan perusahaan teknologi seperti pemilik Meta Mark Zuckerberg, pemilik Twitter alias X Elon Musk, dan pendiri Google Sergey Brin.
Datanya berupa 'ID Profil', 'ID Akun', nama, jenis kelamin, tahun lahir, lokasi saat ini, dan bidang yang dikenal sebagai "ydna" dan "ndna."
Tidak jelas apakah data untuk entri ini sah atau disisipkan. Misalnya, Musk dan Brin memiliki profil dan ID akun yang sama dalam bocoran tersebut.
Saat itu, juru bicara perusahaan mengatakan informasi yang bocor konsisten dengan situasi beberapa akun pengguna diekspos dan kemudian dimanfaatkan untuk mengikis data yang terlihat di DNA Relatives.
Namun, saat ditanya apakah data tersebut telah divalidasi, juru bicara tersebut mengatakan verifikasi data masih tertunda dan perusahaan saat ini tidak dapat memastikan apakah informasi yang bocor itu benar.
Belakangan, dikutip dari The Guardian, peretas merilis informasi pengguna 23andMe yang berisi catatan 4 juta pengguna. Para peretas mengklaim informasi tersebut mencakup orang-orang dari Inggris dan beberapa "orang terkaya yang tinggal di AS dan Eropa Barat dalam daftar ini".
TechCrunch melaporkan, berdasarkan analisis data yang bocor, beberapa catatan cocok dengan data genetik yang dipublikasikan secara online oleh para penghobi dan ahli silsilah.
Perusahaan mengatakan kebocoran data itu kemungkinan besar disebabkan oleh pelanggan yang menggunakan kembali kata sandi yang telah muncul dalam kebocoran data lainnya.
Hal tersebut memungkinkan peretas untuk menggunakan teknik yang dikenal sebagai penjejalan kredensial (credential stuffing).
Ini merupakan teknik serangan siber dengan menggunakan kredensial (biasanya pasangan username dan password) yang diperoleh dari kebocoran data dari satu layanan atau situs kepada layanan lain yang tidak terkait.
"Hal ini tergantung pada fakta bahwa manusia menggunakan kembali kata sandi mereka - itulah yang memungkinkan hal ini terjadi," ujar Tokazowski.[SB]