Wer hätte bloß damit rechnen können? Ach ja, Jeder, der Ahnung von Cybersicherheit hat.
this post was submitted on 22 Oct 2023
57 points (92.5% liked)
Deutschland
6708 readers
9 users here now
Sammelbecken für deutsche Kartoffeln und ihre Geschichten über Deutschland.
Nicht zu verwechseln mit !dach und !chad.
Regeln
- Seid nett zueinander.
- Schreibt hier Beiträge, die ganz Deutschland betreffen, nicht nur einen kleinen Teil
- Sinnlose Provokationen ohne Inhalt werden gelöscht
- zusätzlich: alle Regeln, die ihr auf Feddit.de in der Sidebar lesen könnt.
Bundesländer:
founded 2 years ago
MODERATORS
Da scheidet die Regierung schon einmal aus. Und die Kunden vermutlich auch.
"Olaf Scholz is darkening the future of Germans by serving Zionism." Es gibt schon wirklich, wirklich kaputte Menschen. Aber besser er veröffentlicht irgendwelche Daten als dass er Menschen auf der Straße tötet.
Heftig, wie klar antisemitisch dieser Leak begründet wird :(
Was hat denn Herr Scholz mit diesen Daten zu schaffen?
Übrigens schreibe ich diesen Post weil ich gestern meinen Nachbarn auf der Straße getroffen habe. Ich kann nämlich genauso logisch.
Deutscher Abstammung != Deutscher
Nach deutschem Gesetz schon. Also nicht unbedingt, mit deutscher Staatsangehörigkeit, aber wer deutscher Abstammung ist, hat die Möglichkeit die Staatsangehörigkeit unkompliziert anzunehmen.
Und anders als in den USA, wo das Territorialprinzip gilt, heißt es in Deutschland auch schon Abstammungsprinzip.
The company apparently sees these leaks not as a data breach, but as a violation of site rules. Well, I'm taking on a bit of the role of enlightening the public then; If the source of the leak is solely "credential stuffing attack," why haven't you taken measures against it even in 2023? There's only one login service on web and mobile platforms; why didn't you use captcha, turnstile, etc., there? Despite knowing that the user:pass data of 92 million users of MyHeritage, where many of your joint common members, including your CEO, are known to be, has been circulating for years, you took no action.
What's worse, there's no need for email verification even for a user to download raw data. Additionally, you don't necessarily have to download to obtain raw data. There are three different methods possible to take raw data directly from the db without downloading it. Is it the members' fault if your sense of security is terrible? What a foolish defense!
To extract data in this way from 14 million people, at least 100,000 credentials are needed because most members have common relatives. How did you not notice that 100,000 of your customers' accounts had been accessed? How did you not detect this while millions of data belonging to other users were being scraped? Why didn't you define a rate limit rule based on endpoint or parameter?
Suppose I did scrape profiles through the hacked accounts in the shared relatives list. But what about other vulnerabilities?
Ich hätte schon immer gerne mal so nen Service genutzt einfach aus Interesse. Aber habe nie verstanden warum das nicht anonymisiert abläuft. Man müsste ja eigentlich nur ein Kit mit irgendeiner ID einschicken können und das sollte dann später abrufbar sein. Bezahlt wird da glaube ich eh schon beim Erwerb des Kits. Wozu brauchen die denn überhaupt irgendwelche Kundendaten. Aber naja ist vielleicht trotzdem besser so dass es so einen roadblock für mich gab weil wenn die genetischen Daten erstmal geleaked sind weiß man ja mittlerweile sowieso dass das kaum anonym ist durch die Verwandtschaftsnetzwerke die sich da aufspannen.
Die Firmen bieten das so billig an weil sie sich erhoffen die Daten zu einem späteren Zeitpunkt mal vermarkten zu können. Irgendeine von den großen gehört(e) auch Google soweit ich weiß.
Google hat genau in das hier genannte 23andmr investiert, es gehört denen aber nicht
Weil man dann die Daten für andere Zwecke, insbesondere Strafverfolgung, nutzen kann.
Zu den Verwandschaftsnetzwerken, solange niemand seinen Namen angibt, kann es auch nicht zurückverfolgt werden, bis der erste Name bekannt ist. Und auch dann ist man als Cousin zweiten Grades nicht sofort bekannt, wenn man andere Namen hat und quer übers Land verteilt ist.
So, und wie funktionieren diese Daten? Viele Spalten hat die CSV-Datei ja jetzt nicht...
In my previous message, I presented 3 different pieces of evidence for this. The endpoint where the vulnerability is located => https://you.23andme.com/p/1/family/ibd_segments/?profile_id_1=53c961b2bc5e1c7d&profile_id_2=f800f1fdd208b58f,bfdad8a0e45f8a93,6106a0aed2b549f2,afc76d322a8c6098,40952072ccb8f805
By inputting the profile of the person you want into the profile_id_1 parameter, you could see the relationship between that person and the users in profile_id_2 based on segments, positions, centimorgans, and SNP count. Since I already had the haplogroup, origin, and location information of 14 million people, I found all the close relatives of any person with an average of 50 requests. For this, I wrote an advanced script and pulled all this data. I'm a real hacker; my life has not been spent with SIEM and WAF products like the 23andMe infosec team, but with writing programs.
¯ \(ツ)/¯
Hehe, thanks for the hacking efforts. I'm not sure if I can get some use out of this data. I shall save this along the other data breaches.