摘要

  • 确认的访问是分层级的:23andMe 最初披露,约 0.1%的用户账户(当时通常描述为约 14,000 个)是通过其他服务重复使用的凭证被访问的。后续加拿大-英国联合调查报告称,全球有 18,222 个账户被直接访问。通过这些会话,攻击者抓取了近 700 万客户的 DNA 亲属和家谱信息。
  • 亲属关系扩大了影响范围:选择加入 DNA 亲属功能的客户,其选定的档案、血统和关系信息会对匹配对象可见。因此,攻击者无需每个受影响的人都重复使用密码。该产品将少量有效登录转化为查看更大关系图谱的权限。
  • 检测和响应在多个环节失败:监管机构发现了密集的凭证填充时段、7 月因一个账户登录超百万次导致的平台崩溃、数百次账户转移尝试,以及 8 月声称发生大规模数据盗窃的说法。直到 2023 年 10 月被盗数据被公开叫卖时,大规模攻击才被确认。随后实施了强制双重验证、全局密码重置和更严格的原始 DNA 下载控制。
  • 责任划分有主次:攻击者对未经授权访问、爬取和公开信息负责。重复使用密码的客户制造了初始入口。23andMe 则独力控制了认证默认设置、泄露密码筛查、会话权限、亲属关系查询限制、遥测机制、响应和通知。后续的监管认定、英国罚款、集体和解、破产出售保护以及仍存在争议的加州执法案件,衡量的是不同的法律问题;这些均不支持在缺乏证据的情况下声称基因数据被特定下游滥用的说法。

一个密码,多人牵连

传统的账户接管计数只问攻击者进入了多少账户。这虽是必要问题,但非常不完整。DNA 亲属功能的设计初衷,是让参与的客户看到一系列基因匹配。根据联合调查,视订阅套餐而定,启用的账户可查看 1,500 或 5,000 个 DNA 亲属档案。匹配信息可能暴露显示名称、预测亲属关系、共享 DNA 比例,以及可选的祖源、地理位置、出生年份、照片、姓氏和家谱字段。23andMe 目前的描述仍清楚表明了其底层共享模式:参与者选择向基因匹配对象显示自己,在关系场景中,选定的详细信息会变得可见。(23andMe DNA 亲属隐私和显示设置

这并非将档案发布到开放网络。可见性以已认证的 23andMe 账户、参与此功能、以及服务计算的基因匹配关系为条件。但有条件的共享仍可能形成广泛的授权面。一旦攻击者冒充参与者,服务就认为该会话有权查看他人提供的信息。其他人或许使用了唯一密码和更强大的认证,但其安全仍部分取决于最弱关联账户以及限制该账户可提取内容的控制措施。

这便是共享档案问题。受害账户持有人与暴露数据主体往往是不同的人。一人控制凭证;另一人提供了可见档案;平台定义关系并授予访问权。将事件完全归咎于密码重复使用的分析,混淆了这些角色,也忽略了产品决策对每次成功登录价值的放大效应。

在基因服务中,这一区别尤为重要,因为关系信息本质上是关联性的。共享 DNA 比例描述的是至少两人间的联系。家谱可能包含从未开过账户的人。预测关系由对比数据生成,在操作意义上并非仅由一方拥有。一名客户同意参与匹配功能,并不赋予其对另一客户受侵入会话如何被检测或限制的技术控制权。

这一切均不能证明存在特定的基因危害。经审查的记录并未证实雇主、保险公司、政府机构或医疗决策者利用暴露信息对受影响者采取措施。记录证实的是未经授权的账户访问、自动化收集、部分信息的在线发布或叫卖,以及明确定义的档案和账户字段暴露。问责应建立在已证实的事件和监管机构依法须评估的风险之上,而非凭空想象的后续故事。

证据有四个不同的类别

公开记录在两年的时间内变得更加详细,标签也很重要。不应混淆以下四个证据类别。

证据类别记录支持的内容记录不支持的内容
直接账户访问有效的其他服务用户名-密码组合成功访问了一组 23andMe 账户;这些账户内的可用信息各异,可能包括血统、健康和原始基因型材料。23andMe 自身的密码数据库被盗,或每个直接访问的账户都包含或丢失了相同的字段。
关联档案爬取经认证的会话被用于大规模复制通过关联账户可见的 DNA 亲属、血统和家谱信息。近 700 万个独立账户的密码均被攻破,或每个关联档案均暴露了原始 DNA 或健康报告。
攻击者声明和列表行为者进行了声明、叫卖数据,并在线发布了部分信息。监管机构审查了交易要约证据和公司事件记录。每项数量声明、标签、价格、动机或声称的数据集都准确。8 月所称超过 1000 万客户和 300TB 的数据,当时被 23andMe 归类为欺诈。
法律和和解记录监管机构依据加拿大和英国法律作出认定;英国处以罚款;个人索赔已和解;加州随后根据州法律提起了诉讼。和解等于承认,起诉等于判决,或一个司法管辖区的法律结论自动适用于每位受影响者。

23andMe 2023 年 12 月修改的 8-K 表格是主要公司陈述。它指出,威胁行为者访问了 0.1%的用户账户,这些账户的用户名和密码与之前被泄露或可从其他地方获取的凭证匹配。它还指出,行为者通过这些账户访问了包含其他用户选择通过 DNA 亲属共享的血统档案信息的文件,并在网上发布了部分信息。该公司表示,没有迹象表明它是这些凭证的泄露源。(23andMe 修改后的 8-K 表格

加拿大隐私专员办公室和英国信息专员办公室于 2025 年 6 月发布的联合报告,是最有力的综合公开重建。它依赖于公司提交的材料、员工访谈、开源资料和监管分析。报告还记录了一项重要限制:监管机构未收到所有要求的文件,包括某些内部事件日志和取证报告,因为 23andMe 主张法律特权。这并不否定认定结果。这意味着报告异常详细,但并非底层取证记录的完整发布。(加拿大-英国联合调查报告

公司的博客、证券文件、监管机构报告、法院批准的和解以及后续起诉状回答着不同的问题。它们应在可能的情况下相互印证,但不应被强行纳入一个毫无矛盾的叙事。从早期 0.1%的估计到监管机构后来 18,222 个账户的数字变化便是一个好例子:它反映了报告日期、证据发展和统计方法。这并不意味着可以仅仅因为后来出现的数字而称先前的数字为谎言。

2023 年 4 月至 10 月:攻击的时间线

4 月之前:敏感账户,保护可选

事件发生时,客户可使用邮箱地址和密码登录。基于应用的多因素认证以及苹果或谷歌单点登录虽可用,但为可选。联合调查发现,约 78%的客户既未使用多因素认证也未使用单点登录;只有 0.2%使用了基于应用的多因素认证。访问公司信息的员工账户必须采用多因素认证或单点登录,而客户账户则不必。

这种不对称很重要。内部基础设施被视为需要第二因素保护,但消费者账户仅凭密码就能暴露健康报告、血统结果、关系信息以及请求原始基因型数据的通道。监管机构还发现,23andMe 未对面向客户的服务进行凭证填充模拟,也没有针对该攻击模式的特定事件应对预案。其渗透测试侧重于后端基础设施。

可选的多因素认证并非毫无控制。启用的客户获得了有意义的保护,且监管机构表示,启用多因素认证或苹果、谷歌单点登录的账户,在此次攻击中无一被成功凭证填充。但一个选择性防护措施将采用风险置于用户身上,即使服务已选择集中存储异常敏感的数据并实现跨账户可见性。合适的问题不是设置页中是否存在多因素认证,而是默认的保障级别是否与成功会话所能带来的后果相匹配。

4 月 29 日至 5 月 16 日:首个密集攻击期

根据监管机构的时间线,攻击活动从 2023 年 4 月 29 日持续至 9 月 20 日。在截至 5 月 16 日的首个密集期内,9,974 个账户被成功访问。凭证填充不同于对单个账户的暴力破解:攻击者尝试使用从其他泄露事件或来源获取的用户名-密码组合,期待部分人重复使用了它们。因此,如果监控仅孤立地查看每个账户,一次正确的登录可能看起来很正常。

经济性有利于攻击者。凭证库可跨服务重复使用,登录尝试可分散进行,自动化可将低成功率转化为可行的攻击活动。服务方则需承担机器人程序控制、异常检测、客户摩擦和支持成本。攻击者只需获得足够的成功会话以抵消这些成本。在本案例中,每次成功会话还可能打开查看成千上万关联档案的窗口,使每个有效凭证的预期回报远高于该账户自身的内容。

这就是事件的接触滥用经济学。攻击者与服务的首次接触是登录尝试。一次成功接触变为持久会话。会话随后变为查询他人共享档案的通道。每个保持廉价穿越的边界都会增加提取价值:另一个登录、另一个匹配页面、另一个家谱请求、另一批档案数据。因此,防御必须对整个攻击序列进行代价评估,而不是仅针对密码检查。

7 月 6 日:百万次登录与平台崩溃

根据监管机构对客户登录记录的分析,7 月 6 日,一个计算机程序在一天之内向一个无 DNA 样本的免费账户发起了超过一百万次登录。该活动一度导致平台崩溃,并与一次未遂的批量账户转移尝试相关。该事件在操作层面非常明显,而且在结构上也相关:账户转移是改变基因档案管理所属账户的一种方式。

23andMe 进行了调查,并采取了措施防止未经授权的转移,但并未将该活动与更广泛的凭证填充活动联系起来。平台崩溃并非自动等同于漏洞证据;可用性事件可能有多种原因。然而,在此背景下,它是一个信号,表明经过认证的工作流程正被以异常高的频率自动化。监管机构认定的责任缺失,并非未能从一张图中推断出整个活动,而是未能将此异常与后续事件结合起来。

7 月 28 日至 30 日:约 400 次尝试转移

7 月下旬,行为者试图对约 400 个账户进行自动化转移。23andMe 禁用了转移请求,暂时锁定了可能受影响的账户,要求这些客户重置密码,并增加了针对异常转移量的警报。其内部调查认为,19 个美国客户账户中的有限信息已被访问。

这一响应表明,该公司能够针对识别到的工作流快速且有针对性地采取行动。但它也暴露了一个密码控制的弱点:客户可以将账户重置为之前使用过的密码。23andMe 在 8 月改变了这一行为。但调查并未识别出已有数千个账户在一个更广泛的攻击中被访问过。控制措施仅针对症状:转移滥用,而非围绕它的账户访问和爬取系统。

8 月 10 日:被驳回为欺诈的声明

23andMe 随后在客户门户消息中收到一名个体的声明,声称拥有超过 1000 万客户、总计 300TB 的数据。一位员工还注意到同一用户名在 Reddit 上的类似声明。安全团队进行了调查,并将其归类为欺诈。

该数字是攻击者的声明,而非确认的度量,应保持此标签。后续监管机构并未证实 300TB 或 1000 万客户的数据被盗。他们的发现是关于调查的充分性:对公司而言,泄露声明是罕见的,且该声明出现在 7 月崩溃和转移尝试之后。综合来看,这些事件理应引发更深入的查询。报告认为,8 月更深入的调查本可以在第二个密集攻击期之前发现该活动。

这一点对滥用报告很重要。收件箱可能被难以置信的声明、勒索、研究者报告、客户投诉和噪声淹没。将每条消息视为真实是不可能的。将初步分类作为最终决定也是危险的。高后果服务需要一个升级规则,该规则结合声明的新颖性、声明者的证据、同时期的异常情况和已知的攻击路径。滥用者提交声明的成本可能几乎为零;进行全面取证调查的成本则不然。治理决定何时有足够的独立信号值得付出这一成本。

9 月:第二个密集攻击期

行为者于 9 月恢复了密集的凭证填充,并额外攻破了 4,364 个账户。在整个攻击活动中,监管机构在 5 月和 9 月发现了成功登录与失败登录比例的两个明显异常时段。23andMe 拥有能够检测攻击的工具,但未配置为针对该模式报警。阈值设置主要靠手动,公司也没有利用可获得的设备、浏览器和网络信息来对可疑客户访问进行指纹识别。

这比说服务没有监控更精准。它拥有 Web 应用防火墙、基于 IP 的规则、挑战、速率限制、安全运营部门、SIEM 工具和漏洞悬赏计划。失败之处在于控制措施没有对已发生的攻击进行建模。分布式活动可以规避简单的单 IP 限制。正确的凭证可以避免在重要账户上触发失败登录锁定。登录后的爬取可能看起来像热情的产品使用,除非系统能测量图谱遍历、查询重复、会话速度以及总体的关系触及范围。

10 月 1 日至 10 日:外部发现与首次遏制

10 月 1 日,行为者在 Reddit 上叫卖被盗数据。23andMe 于 10 月 5 日确认事件真实存在,并于 10 月 6 日宣布档案信息已被未经授权访问。其最初的公开声明将访问归因于凭证重复使用,并称 DNA 亲属档案中的信息可能已被获取。(23andMe 事件与行动计划更新

遏制并未一步到位。10 月 9 日,确认后四天,23andMe 使所有活跃会话失效。10 月 10 日,它向所有客户发送邮件,要求全局密码重置并鼓励使用多因素认证。公司于 10 月 15 日向英国信息专员办公室提交了初步报告,并在加拿大隐私专员办公室要求后于 10 月 18 日向其提交。最初的监管报告使用了全球受影响人数 1,103,647 人;10 月下旬的补充报告将该数字提升至 5,621,179 人。

这一顺序暴露了会话控制的重要性。更改密码不一定能结束已认证的会话。响应计划必须单独使令牌失效、轮换或撤销其他凭证、阻止高风险导出、保存证据并追踪下游查看。监管机构认为,在最高优先级的客户数据事件被确认后,四天时间才禁用所有会话并强制重置密码,太久了。

2023 年 11 月至 2024 年 1 月:更严格的登录,更缓慢的通知

11 月 2 日,23andMe 禁用了自助原始 DNA 下载。该功能于 2024 年 2 月 27 日恢复,并增加了出生日期验证环节。监管机构对将出生日期作为强认证因素提出质疑,因为它可能公开可得或存在于其他泄露事件中,但他们从整体上评估了公司后续的安全措施,而非仅视此单一步骤为充分。

11 月 9 日,服务对未使用应用多因素认证或单点登录的客户强制实施基于邮箱的双重验证。修改后的 SEC 文件将这一要求日期定为 11 月初,并确认新用户和现有用户此后均需双重验证。基于应用的多因素认证早已存在且本可更早强制实施;23andMe 转而开发了摩擦更低的邮箱方式。监管机构认为,这使得账户暴露时间比必要的更长,同时也认可到 2024 年底,综合修复后的控制措施集是适当的。

通知继续分层实施。其 DNA 亲属信息已被发布或确定被访问的人员,在 10 月收到了通知。一些仅含家谱信息的澄清通知在 12 月发出。直接遭受凭证填充的账户持有人直到 2024 年 1 月才得知此事,这距确认已近三个月,距公司表示其取证调查已完成已一个多月。联合报告发现,向监管机构和个人的通知中存在遗漏,包括原始 DNA 可能暴露、攻击时间段、信息被挂牌出售的事实以及一些账户字段。

计数账户、档案与人员

此事件没有单一诚实的数字,除非数字与单位和日期一同给出。

约 0.1%或大致 14,000 个账户:这是公司 2023 年 12 月初对直接凭证填充账户的描述。该百分比出现在修改后的 8-K 表中。当时报道根据服务用户数将其折算为约 14,000 个。

18,222 个直接被访问的账户:这是 23andMe 于 2024 年 7 月向加拿大-英国调查提交的全球总数:加拿大 769 个,英国 611 个。这是公开监管记录中更完善的直接账户数字。

5,497,376 份 DNA 亲属档案及 1,468,791 份家谱档案:这些是后来向监管机构报告的全球字段组计数。报告称,DNA 亲属和家谱档案组别互斥,而 DNA 亲属和血统报告人群则不互斥。公司 2024 财年 10-K 表将类别四舍五入为约 550 万份 DNA 亲属档案和 150 万份家谱档案。(23andMe 2024 财年 10-K 表

全球 6,984,430 名受影响客户:23andMe 于 2023 年 12 月 4 日向加拿大监管机构报告了这一总数,其中加拿大 319,635 人。联合报告通常描述为近 700 万受影响客户。美国集体和解后来将约 640 万美国居民纳入集体范围。

这些数字描述的是嵌套且有交集的群体,而非四个可相加的数字。直接访问的账户持有人也可能拥有 DNA 亲属档案。一个人可能同时拥有血统信息和关系档案。家谱档案可能涉及账户持有人或家谱中的其他人。精确性需要一个模式:人员、账户、基因档案、关系记录、家谱节点、报告和下载文件是不同的对象。

原始 DNA 的计数就更受限制了。2024 年 7 月,23andMe 报告全球有 18 次原始 DNA 下载和 49 例原始 DNA 被访问或浏览的情形。监管机构指出了取证方法的弱点,包括缺失原始云提供商日志和一个配置错误的自定义日志。2025 年 4 月,经过进一步分析,23andMe 将归因于攻击者的原始 DNA 下载次数修订为全球四次,加拿大和英国均无。监管机构未独立验证该修订。

正确的结论不是七百万人的原始 DNA 被下载。记录不支持这一点。也不是没有原始 DNA 涉及。公司后来的立场是属性下载四次,而监管机构记录了方法论上的不确定性。这正是取证文章必须止步于证据边界的地方。

成功会话能披露什么

数据还必须按访问路径进行划分。

对于直接访问的账户,可用字段可能包括姓名、出生日期、出生性别、性别认同、邮箱、国家及邮政编码、身高体重;血统报告;健康报告;自报健康状况;以及原始基因型信息。这并不意味着 18,222 个账户每个都包含所有字段,或每个可用字段都被下载。联合报告给出了更具体的数据:8,217 个受攻击账户涉及健康报告,63 个涉及自报健康状况。

对于关联的 DNA 亲属档案,暴露的材料较窄但依然敏感:姓名或显示名称、自报出生年份和地点、个人照片、种族或族裔血统、预测亲属关系、共享 DNA 百分比、匹配片段,以及可选的血统和家谱信息。这是乘数效应所在。行为者通过直接访问账户的权限查看了这些记录。

对于家谱档案,记录涉及的是关联家谱中的信息。家谱节点不应被随意等同于唯一服务客户或原始基因记录。产品可以描述亲属和家族世系,而无需每个被代表的人都成为接受测试的账户持有人。

对于攻击者列表,叫卖或发布的事实并不能验证卖家所贴的每个标签。监管机构发现部分数据被叫卖,并且受影响通知本应披露这一事实。2026 年加州的起诉状提出了关于定向列表、赎金谈判、产品漏洞和公司陈述的额外指控。这些指控是严重的,但截至发稿,起诉状仅是一份初始诉状,而非判决。必须将其引为州政府的案件,而不能转化为已裁定的事实。(加州总检察长起诉状及公告

这种区分同时保护受影响者免于两种错误:因并非总是原始文件而淡化未经授权的血统和关系披露,以及将事件夸大为声称七百万人的完整基因组被窃取。两者皆扭曲了问责。

产品设计使这种比例成为可能

产品的目的是建立联系。DNA 亲属通过向客户展示广泛的匹配以及足够的背景信息来识别家族关系,从而创造价值。安全控制不能简单地消除所有共享可见性而不禁用该功能。但它们可以管理一个会话积累多少权限以及多快能行使这些权限。

至少可以提出五个设计问题。

第一,关系图谱是否应在每次登录后都同等可见?新设备、异常地理位置或近期恢复的账户,在加强认证前,接收的视图应受限。目的不是隐藏个人自己的结果,而是区分自我访问与对他人档案的批量访问。

第二,单个会话最大有用触及范围是多少?产品可以计算成千上万个匹配,但无需以机器速度交付它们,也无需通过每个端点暴露相同字段。分页、单会话配额、渐进式披露和限定用途的导出,都可以提高提取成本,同时保持正常的发现体验可用。

第三,哪些查询会暴露关系数据?安全遥测应理解产品。计算 HTTP 请求不如测量查看的唯一档案数、家谱扩展、血统报告检索、共享片段查询以及跨多个账户的重复遍历有效。攻击可以保持在通用请求阈值之下,却违反一切正常的关系使用模式。

第四,当查看者账户被侵入后,何种同意仍然适用?一个人选择与使用该服务的基因亲属共享,而非与任何能提供亲属密码的人共享。同意不能认证查看者。平台必须强制实施使共享选择仍保持意义的条件。

第五,关联人员能否看到或撤销暴露路径?账户事件历史有助于直接受影响的客户,但一个通过他人会话被查看档案的亲属,自身并没有自然的会话日志。因此,服务需要图谱感知的事件分析和通知。它必须能够回答:不只是哪些账户被进入,还有每个恶意会话触及了哪些其他档案。

这正是数据最小化成为操作控制的地方。从默认关系视图中移除可选的位置、出生年份或姓氏,可以在不取消匹配功能的情况下减少后果。将档案发现与详细的血统报告分离,可创建一个加强边界。限制旧的或不活跃的档案,可以减少保留的触及范围。这些都是产品选择,而非密码说教。

多因素认证默认设置与密码共享责任

客户不应重复使用密码。重复使用使一个服务的泄露成为进入另一个服务的钥匙,攻击者仍要为利用它负责。但客户过错并不能耗尽平台责任。服务方知道凭证重复使用普遍到足以成为一个标准的威胁模型。美国联邦贸易委员会在 2017 年就警告,保护敏感账户的公司应结合多种认证技术,因为攻击者会大规模自动化尝试泄露的凭证。(FTC 关于安全密码和认证的指南

23andMe 的责任因会话触及范围而加重。直接受影响的客户因重复使用密码而将自己账户置于风险中;他们并未配置产品去暴露多达数以千计的匹配。关联的亲属则完全未选择被泄露的密码。公司是唯一能够使更强认证在整个服务中强制实施的实体。

监管机构识别了三个预防性缺口:强制多因素认证、泄露密码检查以及最低密码强度要求。关于密码筛查的记录内部存在矛盾。一份回复称公司没有对照泄露数据集进行检查;一次访谈称其对照了 2021 年数据集中 20,000 个频繁重复的密码进行了检查。无论哪种版本,都比基于广泛语料库的持续筛查狭窄得多。

当前的技术指南支持分层控制。NIST SP 800-63B 要求对照常见、预期或泄露的值检查备选密码,并实施有效的速率限制;它还明确指出密码不具备防钓鱼能力。(NIST SP 800-63B)OWASP 的凭证填充预防指南补充了上下文多因素认证、设备和连接信号、泄露密码识别、用户事件可见性以及跨防御的度量指标。(OWASP 凭证填充预防速查表)这些是基准,而非证明某单一控制措施就能阻止所有技术的证据。

强制邮箱双重验证相较于仅凭密码登录,是一项有意义的改进,但它并非最强的可能因素。如果邮箱账户使用了相同的泄露密码,攻击者可能两者兼得。应用认证器和防钓鱼方法可以提供更强的隔离。成熟的设计可以将广泛可及的强制基准与更强的选项、基于风险的升级和强化的恢复相结合。它应当衡量采用率和绕过路径,而不仅仅是宣布某功能存在。

当认证成功时,爬取就是安全事件

凭证填充相对于总尝试次数只是偶尔成功,但随后的爬取使这些成功变得有价值。这使检测从一个登录问题转变为一个会话行为问题。

监管机构发现,在五个月的时间里,尽管有数千个账户被访问,却没有触发任何警报。他们能够从成功登录与失败登录的比例中识别出 5 月和 9 月的攻击期。他们还发现,23andMe 持有进行指纹识别所需的设备、浏览器和网络数据,但并未用于此目的,理由是其他控制措施和隐私关切。

这种权衡值得谨慎对待。设备指纹识别若不受限制地收集或被重新用于广告,可能成为侵入性跟踪。答案不是以安全为名进行无限制的监视,而是目的限定:收集必要的最少量信号,定义留存期限,将欺诈遥测与营销活动隔离开来,提供透明度,限制访问权限,并测试有效性。一项控制的隐私成本应纳入设计审查;同样,任由数百万关联档案可被爬取的隐私成本亦是如此。

服务还需要聚合控制。单个 IP 地址并非唯一有用的单元。防御方可以评估每条凭证来源、设备系列、网段、自动化指纹、会话集群和档案查看模式下的尝试。他们可以为查看的唯一亲属数设定预算,检测均匀遍历,将导航时机与人类行为对比,并对高风险的导出发起挑战。目标不是声称实现完美的机器人检测,而是使提取更慢、更嘈杂且更昂贵,同时产生可供分析师采取行动的证据。

接触滥用的经济学同样适用于响应渠道。安全团队需要为客户和研究者提供一个低摩擦的途径来报告可疑行为,但每个低成本的渠道都会吸引噪音。分流应保留证物,将报告与遥测关联,并基于综合信号进行升级。2023 年 8 月的消息显示了为什么驳回一项声称不能成为记录的终点:即使一个虚假的数量声称,当平台已在自动化下崩溃并看到数百起可疑转移尝试时,也可能指向一类真实的活动。

通知必须追踪人,而非账户

公司随着分析的进展,在 2023 年 10 月至 2024 年 1 月间通知了不同的群体。这在原则上是可以理解的:事件范围会变化,过早的确定可能产生误导。但监管发现更为具体。10 月发给关联档案主体的通知,并未说明部分信息已被挂牌出售。发给直接访问账户持有人的通知来得更晚,且未一致地描述所有账户设置字段或 4 月至 9 月的攻击时段。最初的监管报告遗漏了原始 DNA、健康和血统报告可能已在受攻击账户中受影响的可能性。

通知设计继承了产品的数据模型。如果响应系统始于一份受损账户 ID 的列表,它自然会首先联系账户持有人。但最大的受影响群体由那些档案通过他人账户被触及的人组成。一个图感知的泄露处理流程需要一个暴露账本:恶意会话、源账户、查看的端点、关联档案、可用字段、已获取字段、时间、司法管辖区和通知状态。

该账本也能防止过度通知。一个仅显示名称和共享 DNA 百分比被查看的人,应收到的通知应说明这一点,而非一份暗示原始基因型文件被下载的通用警告。一个有健康报告访问权的直接访问账户持有人需要不同的信息。一个并非账户持有人的家谱主体可能需要再次通过不同的法律和实践路径。

联合报告发现,该泄露事件跨过了加拿大 PIPEDA 和英国 GDPR 的通知门槛。它还发现了这些制度下的延迟和内容缺陷。加拿大专员将改进的安全措施视为解决了安全问题,而英国监管机构则对涉及 155,592 名英国用户并持续至 2024 年底的违规行为处以 231 万英镑的罚款。(英国 ICO 对 23andMe 的执法记录)该罚款并非此泄露事件的全球定价;它反映的是一个机构的权力、覆盖人群和法律分析。

数据本地化不仅是服务器在哪里

此事件展示了三种不同的本地化。

存储本地化询问个人信息、样本、日志和备份在物理上或合同上位于何处。它对传输机制、政府访问、供应商风险和客户期望很重要。但没有任何经审查的证据表明,将同样的产品不加改变地迁移到另一国家的服务器上,就能阻止有效的重复使用凭证打开相同的档案。

访问本地化询问权限在哪里被强制实施。在本案中,决定性的边界是逻辑性的:一个成功的客户会话可以触及关联档案。更强的认证、会话风险、查询限制和档案级别的授权将改变这种本地化,即使每个字节都留在同一设施中。

法律本地化询问哪些法律和监管机构与个人、控制者、处理及传输挂钩。加拿大和英国当局能够联合调查一家美国公司,是因为加拿大和英国居民受到影响,且他们各自的法律适用。他们的报告给出了单独的国家计数、单独的通知义务和单独的结论。协调减少了重复的事实调查,但并未将 PIPEDA 和英国 GDPR 合并为一部法律。

公司当前的隐私声明区分了基因信息、样本信息、自报信息、账户数据和共享选择,并提供了特定地区的权利和联系方式。它还表示,账户删除将触发研究退出和样本销毁,但受限于声明的限制。当前政策对于评估现有承诺是有用的,但它并不证明每位客户在 2023 年都理解了什么,或过去的控制措施如承诺般运作。(23andMe 当前隐私声明

破产使法律本地化变得具体。23andMe Holding Co. 及其子公司于 2025 年 3 月申请第 11 章破产保护。FTC 主席警告美国受托人,出售或转让敏感的基因、样本、健康及关系信息,必须尊重关于隐私、选择和删除的承诺。(FTC 关于 23andMe 破产的信函)加拿大和英国监管机构分别致函美国官员,强调在其司法管辖区内对个人的义务。(加拿大-英国联合破产隐私信函

2025 年 7 月,经破产法庭批准的几乎全部运营资产出售给 TTAM 研究所(后称 23andMe 研究所),交易金额 3.05 亿美元,并已完成交割。买方承诺尊重现有的隐私选择、删除和研究退出;将未来的某些转让限制在接受这些政策并合格的国内实体;设立隐私咨询委员会;并就隐私程序进行报告。SEC 文件确认了交割,而资产购买资料则描述了保障措施。(23andMe 出售交割 8-K 表

这些条款表明,数据治理可以作为义务在所有权变更中存续,而不是作为不受限制的资产流转。它们并未使地理因素成为完整的保障,也未消除关于转移是否需要个人同意的法律争议。州总检察长对拟议出售提出质疑;客户被提醒了删除和样本销毁选项;交易最终在法院授权和谈判条件下完成。教训不是破产会自动取消隐私承诺,或一份隐私政策就能解决每一位债权人和州法律问题。而是管理条款、删除能力和特定司法管辖区的权利需要在陷入困境之前就设计好,那时证据和人员配置都更强。

成本衡量不同的东西

23andMe 报告了 2024 财年 460 万美元的事件开支,被 280 万美元的预计保险赔付部分抵消,主要用于技术咨询、法律工作和其他顾问费用。这些是公司的响应成本,而非客户伤害的估值。

私人诉讼产生了另一组数字。一项拟议的美国集体和解以 3000 万美元不可返还基金起步,并转入破产程序。最终结构提供至少 3000 万、最多 5000 万美元的基金,为符合条件的索赔提供现金类别,以及五年的隐私、医疗和基因监测。破产法庭于 2026 年 1 月 30 日给予最终批准。官方和解网站称,集体范围涉及约 640 万美国居民,现金索赔截止日期已过,分配等待破产协调。(23andMe 数据和解官方网站

该和解根据其条款解决了个人索赔并释放了所涵盖的索赔。这并非表明每一项所陈述的指控都是真实的法律判决,且和解福利也不是索赔人遭受特定基因滥用的证据。监测标签不应被误解为具有技术上逆转一次暴露的能力。它是一项定义好的服务福利和风险支持机制。

2025 财年 10-K 表描述了当时结构化下跨越集体诉讼、仲裁和州法院和解的总共 3750 万美元的承付承诺,以及诉讼和监管风险敞口。该文件在最终的破产调整和批准之前,因此不应被后来法庭管理的基金描述所取代。它仍然是多个争议渠道如何围绕一个事件积累的有用证据。(23andMe 2025 财年 10-K 表

英国罚款衡量的是特定司法管辖区和期限内的公法侵权行为。2026 年加州的起诉状是另一项公共执法行动,指控其违反了《基因信息隐私法》、《加州消费者隐私法》、合理安全法律及消费者保护法规。它还指控了超出 2025 年联合报告的事实。这些仍为指控,除非被承认或证实。私人和解、监管罚款、保险赔付和破产出售收益应放在不同栏目中;将它们加总成一个“泄露成本”会得到一个财务上整洁但法律上毫无意义的总数。

补救措施已足够具体以供检验

截至 2024 年 12 月 31 日,23andMe 告知加拿大-英国调查人员,它已实施了一系列更广泛的控制措施。监管机构集体接受了这些措施,认为足以解决他们已识别的保障关切,英国监管机构自那时起视公司为满足了相关的安全要求。这是一项有意义且积极的认定,但有一个边界:它并不证明在所有权和组织变化后,有效性是永久的。

报告的变化包括:最低 12 个字符的密码,在注册、登录和重置时对照大得多的泄露密码语料库进行检查,强制邮箱双重验证,围绕原始数据和健康数据下载的保护,原始 DNA 交付前 48 小时的延迟,模拟凭证填充练习,修订后的监控,超过 253 条新的 SIEM 告警,基于行为的会话监控,暗网监控,可信浏览器功能和可下载的账户事件历史。产品、安全和工程治理也得到加强。

一份控制措施清单不等于控制效果。有用的下一步是要求证据而不要求可被利用的细节。

问责问题公共证据持续检验
一个重复使用的密码能否仍打开一个敏感账户?强制邮箱双重验证或单点登录,并可选用应用多因素认证。受每种因素保护的登录百分比;恢复绕过率;高风险会话的升级;因素重置滥用。
已知泄露的密码是否被拒绝?据报告,在注册、登录和重置时进行了广泛的泄露凭证筛查。语料库的新鲜度、覆盖率、误报处理以及在成功认证前阻止的尝试次数。
一个会话能否枚举成千上万的亲属?据报告实施了行为监控和新警报;关于关系查询限额的公开细节有限。每个会话查看的唯一档案数,自动化遍历检测,端点配额,挑战有效性和批量访问例外。
服务能否检测分布式活动?据报告开展了凭证填充模拟、比例感知规则、253+ 条告警和增强的日志记录。按攻击阶段划分的检测时间,演习中的告警召回率,低速缓慢场景及分析员闭环质量。
客户能否检查账户活动?据报告提供了可信浏览器和可下载的账户事件历史功能。会话、导出和因素变更历史的完整性;保留期限;通知送达;用户报告异常的跟进。
原始数据能否在没有更强证明的情况下离开?引入了额外验证和 48 小时延迟。验证强度的提升,取消工作流,下载日志的完整性,与存储提供商日志的独立核对。
事件响应能否映射关联人员?监管机构要求改进流程和通知;公开的图级别响应指标有限。识别间接查看档案的时间,字段级通知准确性及司法管辖区映射。
控制措施能否在所有权或财务困境中存活?出售条款保留了删除、同意和监督承诺。人员配备、咨询委员会报告、安全预算、独立保证及未来转让合规。

48 小时延迟在与安全通知和取消配合时,是很好的摩擦点:它使恶意会话无法即时提取,并给予真正用户反应时间。但没有可信的联系渠道,延迟只会延迟损失。出生日期检查可能增加仪式感,却依赖于可能已在其他地方可见的信息。控制措施应作为一个链条来评估。

强制邮箱双重验证亦是如此。当仅可获得 23andMe 密码时,它很可能阻断这一攻击活动的简单版本。但当邮箱账户也被侵入时,它就较弱了。应鼓励所有用户使用更强的因素,并要求对特别重要的操作强制使用。平台应维护为丢失因素的人提供恢复路径,同时防止支持交互成为最易绕过的通道。

谁控制了什么

威胁行为者控制了测试泄露凭证、进入账户、自动化产品功能、爬取档案以及发布或叫卖信息的决定。犯罪意图不会仅仅因为控制措施薄弱而转移给公司。

使用重复凭证的客户控制了他们在各服务间的密码选择,本应使用唯一密码和可用的多因素认证。他们的责任是真实但有限的。他们不控制监控、功能授权、会话失效或通过其账户可见的亲属数量。

关联亲属及档案主体控制了一些共享选择和可选字段。他们不控制每个匹配账户的安全,也不控制平台在仅凭密码登录后授予广泛可见性的决定。选择加入功能并不等于同意敌对自动化。

23andMe控制了客户认证基线、密码筛查、会话和导出设计、匹配可见性、遥测、事件分级、响应时间安排、数据映射和通知。它还选择了敏感度模型,并能将员工账户的保护与客户账户的保护进行比较。这就是为什么尽管它未制造重复使用的凭证,实际问责仍最重地落在服务方身上。

监管机构和法院在特定法律和程序内控制了补救措施。加拿大和英国专员可以就其居民的安全保障和通知作出认定。英国当局可处以罚款。破产法庭可批准出售与和解条款。加州可以提起州诉讼。没有任何一方对每一位客户或每一个问题拥有普遍管辖权。

继任机构在资产出售后控制了运营服务并继承了管理承诺。前上市控股公司,更名为 Chrome Holding Co.,仍与破产分配和诉讼相关。清晰的名称很重要,因为客户应知晓哪个实体运营产品、哪个持有数据、哪个负有和解义务,以及哪个接收删除请求。

仍未知之事

公开记录不包括完整的取证报告、所有事件日志、完整的恶意基础设施、确切的凭证来源、所有端点代码或完整的查询历史。监管机构明确提到了缺失所要求的材料以及原始下载日志记录中的弱点。可靠的叙述须保留这些缺口。

未能证实 23andMe 自身的凭证存储被攻破。公司一贯表示未发现迹象表明其提供了这些用户名-密码组合,监管机构描述的是利用在其他事件中泄露的凭证进行的凭证填充活动。

未能证实现近七百万份原始基因型文件或健康报告被下载。最大的人群涉及 DNA 亲属、血统和家谱信息。直接账户字段和原始数据事件是较小且单独计数的类别。

未能证实每个攻击者广告都是准确的,或有特定的意识形态动机驱动了记录的选择或营销,或每一项声称的记录都是唯一的。信息使用敏感的祖先类别进行营销的事实对通知和风险评估很重要;但动机和下游使用仍需要证据。

在经审查的材料中,未能证实有特定个人因本事件遭受就业歧视、保险拒保、医疗伤害、执法锁定或身份盗窃。这些是围绕基因和身份数据可想象的关切,但可能性并非发现。

同样未能证实补救措施将无限期保持有效。监管机构认可了截至 2024 年底的综合措施。破产、人员变动及向新机构的转移,使持续的保障尤为关键。一项通过一次审查的控制措施,可能因配置变更、预算压力或一条新的产品路径而退化。

问责始于他人账户边缘

事件始于有效的凭证。因为服务将超出直接访问者自身记录的更多权限附加于这些凭证,它才成为大规模暴露。这是超越 23andMe 值得持有的问责视角。

任何围绕家庭、团队、患者、学生、家谱或社交图谱构建的平台,都可能通过某人的会话暴露另一个人。因此,正确的分母不是受损的账户,而是从受损权限可触及的人和记录。正确的控制不仅是更严格的登录,而是更严格的登录结合受限的会话触及范围、产品感知的爬取检测、可靠的导出证据、快速遏制和人员级别的通知。

数据主权遵循同一逻辑。若远程会话能遍历一个全球关系图谱,国内服务器并不会创造本地控制。若在出售过程中删除、同意和转让义务消失,隐私政策便不能保留选择。法律管辖权并非整齐映射至系统架构,因此服务必须随数据携带归属地、权利和通知状态。

最可辩护的结论比最响亮的泄露标题更狭窄,比公司最初的解释更严苛。密码重复使用打开了门。产品设计拓宽了它。监控未能识别反复的通行。响应和通知在不同日期关闭了它的不同部分。后续的控制措施、监管机构的认定及法庭条款产生了一份可衡量的问责记录。剩余的持续义务是证明:一个人的账户不再能成为廉价触及数千人生活的提取通路。