摘要
- 确认的访问是分层的:23ANDME 最初披露约 0.1% 的用户账户(当时通常描述为大约 14,000 个)是通过从其他服务重用的凭据访问的。后来加拿大-英国的联合调查报告称全球有 18,222 个直接访问的账户。通过这些会话,攻击者抓取了属于近七百万客户的 DNA 亲属和家族树信息。
- 亲属关系扩大了受影响范围:选择加入 DNA 亲属功能的客户会向匹配对象显示选定的资料、祖源和关系信息。因此,攻击者无需每个受影响的人都重用了密码。该产品将一小部分有效登录转化为查看庞大关系图谱的权限。
- 检测和响应在多个环节失败:监管机构发现了密集凭据填充时段、七月因单个账户登录超过一百万次导致的平台崩溃、数百次资料转移尝试以及八月一次大规模数据窃取的声称。直到 2023 年 10 月,被盗数据被公开出售,这次大规模攻击才得以确认。随后采取了强制两步验证、全局密码重置和更严格的原始 DNA 下载控制。
- 问责是分散的,但并不平均:攻击者对未授权访问、抓取和公开数据负有责任。重复使用密码的客户造成了初始路径。惟独 23ANDME 控制了身份验证默认设置、泄露密码筛查、会话权限、关系查询限制、遥测、响应和通知。后来的监管调查结论、英国罚款、集体诉讼和解、破产出售保护措施以及仍在争议中的加利福尼亚州执法案件衡量了不同的法律问题;无一在缺乏证据的情况下支持关于特定下游基因数据滥用的主张。
一个密码,许多人
传统的账户接管计数只会问攻击者进入了多少个账户。这在此处是必要的,但极不完整。DNA 亲属功能旨在向参与的客户展示一组基因匹配。联合调查称,根据订阅等级,一个已启用的账户可以看到 1,500 或 5,000 个 DNA 亲属资料。一次匹配可能暴露显示名称、预测关系、共享 DNA 百分比以及可选的祖源、位置、出生年份、照片、家族姓氏和家族树字段。23ANDME 当前的说明仍清楚展示了底层的共享模型:参与者选择对基因匹配对象可见,所选详细信息在该关系背景下可见。(23ANDME DNA 亲属隐私与显示设置)
这并不等同于将资料发布到开放网络。可见性取决于已认证的 23ANDME 账户、对该功能的参与以及服务计算出的基因匹配关系。但条件共享仍可能形成一个广泛的授权面。一旦攻击者成功冒充了参与的客户,服务就将该会话视为有权查看其他人提供的信息。那些其他人可能使用了唯一密码和更强的认证。尽管如此,他们的安全在一定程度上依赖于最脆弱的关联账户以及限制该账户可检索内容的控制措施。
这就是共享资料问题。被入侵的账户持有者与暴露的数据主体往往是不同的人。一人控制着凭据;另一人提供了可见的资料;平台定义了关系并授予访问权限。将事件完全归咎于密码复用会混淆这些角色。它也忽略了那个使每次成功登录价值倍增的产品决策。
这一区别在基因服务中尤其重要,因为关系信息本质上是关联性的。共享 DNA 百分比描述了至少两个人之间的连接。家族树可以包括从未开立账户的人。预测关系是根据比较数据生成的,在操作意义上并不由单方面独有。一位客户同意参与匹配功能,并不赋予该客户对其他客户被入侵会话如何被检测或限制的技术控制权。
这些都未证明存在具体的基因伤害。经审查的记录并未证实雇主、保险公司、政府机构或医疗决策者将暴露的信息用于针对受影响个人。但它确实证实了未授权的账户访问、自动化收集、部分信息在线上发布或提供,以及规定资料和账户字段的暴露。问责应建立在这些已证实的事件以及监管机构依法必须评估的风险之上,而非建立在虚构的下游叙事上。
证据分为四个不同的盒子
公共记录在两年多的时间里变得更加详细,而标签很重要。四个证据类别不应混淆。
| 证据盒 | 记录支持什么 | 不支持什么 |
|---|---|---|
| 直接账户访问 | 来自其他服务的有效用户名-密码组合成功用于访问一组 23ANDME 账户;这些账户内的可用信息各不相同,可能包括祖源、健康和原始基因型材料。 | 23ANDME 自己的密码数据库被盗,或每个被直接访问的账户均包含或丢失了相同的字段。 |
| 关联资料抓取 | 已认证会话被用于大规模复制通过关联账户可见的 DNA 亲属、祖源和家族树信息。 | 近七百万个独立账户密码被攻破,或每个关联资料都暴露了原始 DNA 或健康报告。 |
| 攻击者陈述与广告 | 该行为者进行了声称、广告了数据并在线上发布了部分信息。监管机构审查了要约证据和公司事件记录。 | 所有数量声称、标签、价格、动机或声称的数据集都是准确的。八月一项关于超过一千万客户和 300 TB 的声称在彼时被 23ANDME 归类为骗局。 |
| 法律与和解记录 | 监管机构根据加拿大和英国法律作出调查结论;英国处以罚款;私人索赔达成和解;加利福尼亚州后来根据州法律提起了指控。 | 和解等于承认,投诉等于判决,或一个司法辖区的法律结论自动适用于每个受影响的人。 |
23ANDME 2023 年 12 月修订的 8-K 表格是主要的公司账户。它表示,威胁行为者进入了 0.1% 的用户账户,这些账户的 23ANDME 用户名和密码与其他地方先前泄露或以其他方式获得的凭据匹配。它还表示,该行为者利用这些账户访问了包含其他用户选择通过 DNA 亲属共享的祖源资料信息的文件,并在线上发布了部分信息。公司表示,没有迹象表明它是凭据的来源。(23ANDME 修订版 8-K 表格)
2025 年 6 月由加拿大隐私专员办公室和英国信息专员办公室发布的联合报告是现有最有力的整合性公开重建。它依据公司提交材料、员工访谈、开源材料和监管分析。报告还记录了一个重要限制:由于 23ANDME 主张法律特权,监管机构没有收到所请求的每一份文件,包括某些内部事件日志和取证报告。这并不使调查结论无效。它意味着报告异常详细,但并非底层取证记录的完整公开。(加拿大-英国联合调查报告)
公司的博客、证券备案、监管报告、法院批准的和解以及后来的投诉回答的是不同的问题。它们应当在可能的情况下相互印证,但不应当被强行编入一个无摩擦的叙事中。从早期 0.1% 的估计到监管机构后来 18,222 个账户数字的变化就是一个很好的例子:它反映了报告日期、证据发展和计数方法。这不能成为仅因后来数字而称先前数字为谎言的理由。
2023 年 4 月至 10 月:攻击的时间线
4 月之前:敏感账户配备可选保护
事件发生时,客户可以使用电子邮件地址和密码登录。基于应用程序的多因素认证以及 Apple 或 Google 单点登录虽可用,但是可选的。联合调查发现,大约 78% 的客户既未使用 MFA 也未使用 SSO;仅有 0.2% 使用了所提供的基于应用的 MFA。访问公司信息的企业账户强制要求 MFA 或 SSO,而客户账户却没有。
这种不对称很重要。内部基础设施被视为需要第二因素,但一个消费者账户却可以仅凭密码暴露健康报告、祖源结果、关系信息和请求原始基因型数据的路径。监管机构还发现,23ANDME 未针对面向客户的服务模拟凭据填充,并且没有专门针对该攻击模式的事件响应预案。其渗透测试侧重于后端基础设施。
可选的 MFA 并非没有控制。启用了 MFA 的客户获得了有意义的保护,监管机构表示,在此次攻击行动中,没有任何使用 MFA 或 Apple 或 Google SSO 的账户被成功凭据填充。但一个选择性的安全防护措施将采用风险置于用户身上,即便服务已选择集中了异常敏感的数据和跨账户可见性。合适的问题不是 MFA 是否存在于设置页面中,而是默认保障级别是否与一个成功会话所能做的事情相匹配。
4 月 29 日至 5 月 16 日:第一个密集期
后来的监管机构时间表将攻击时间定为 2023 年 4 月 29 日至 9 月 20 日。在 5 月 16 日结束的第一个密集期里,有 9,974 个账户被成功访问。凭据填充与针对单个账户的暴力猜解不同:攻击者尝试从其他泄露或来源获取的用户名-密码对,期望有些人会在多个服务中复用。因此,如果监控孤立地审视每个账户,一次正确的登录可能看起来很正常。
经济方面有利于攻击者。凭据集合可在服务之间重复使用,登录尝试可分布进行,自动化将低成功率转化为可行的行动。服务承担着机器人控制、异常检测、客户摩擦和支持成本。攻击者只需要足够的成功会话以证明这些成本的合理性。而在本案中,每个成功会话还能打开通向数千个关联资料的视野,使得每个有效凭据的预期回报远高于仅该账户自身内容的价值。
这就是该事件的滥用接触经济学。攻击者与服务的第一次接触是登录尝试。一次成功的接触变成了持久的会话。该会话随后成为查询其他人共享资料的通道。每一个保持廉价穿越的边界都增加了提取价值:又一次登录、又一个匹配页面、又一个家族树请求、又一批资料数据。因此,防御措施必须对整个序列进行定价,而不仅仅是密码检查。
7 月 6 日:一百万次登录与平台崩溃
根据监管机构对客户登录记录的分析,7 月 6 日一个计算机程序在一天内使用一个没有 DNA 样本的免费账户登录了超过一百万次。这一活动暂时导致平台崩溃,并与一次发起资料转移的失败努力有关。该事件操作上非常响亮,在结构上也相关:资料转移是在账户之间移动基因资料管理权的一种方式。
23ANDME 进行了调查,并对未授权转移采取了措施,但并未将该活动与更广泛的凭据填充攻击关联起来。平台崩溃并不自动是数据泄露的证据;可用性事件可能有许多原因。但在上下文中,这是一个信号,表明一个已认证的工作流正以异常数量被自动化。监管机构确定的问责失败不是未能从一张图表推断出整个攻击,而是未将此异常与随后的事件结合起来。
7 月 28 日至 30 日:约 400 次尝试转移
七月下旬,行为者试图对大约 400 个账户自动化资料转移。23ANDME 禁用了转移请求,暂时锁定了可能受影响的账户,要求这些客户重置密码,并添加了对异常转移量的警报。其内部调查得出结论,19 个美国客户账户中的有限信息被访问。
这一响应显示公司能够围绕一个已识别的工作流狭窄而迅速地行动。但它也暴露了一个密码控制弱点:客户可以将账户重置为以前用过的密码。23ANDME 在八月份改变了这一行为。但调查并未识别出更广泛的攻击已经访问了数千个账户。控制措施被限定于症状:转移滥用,而非围绕它的账户访问和抓取系统。
8 月 10 日:一项被斥为骗局的声称
23ANDME 随即收到了客户门户消息,来自一名声称拥有超过一千万客户数据、总计 300 TB 的个人。一名员工也注意到在 Reddit 上同一名字下的类似声称。安全团队调查后将此声称归类为骗局。
该数字是一项攻击者声称,而非确认的度量,且应保持如此标记。后来的监管机构并未验证 300 TB 或一千万客户的数据窃取。他们的发现是关于调查充分性的:对于该公司,数据泄露声称非常罕见,而这一声称是在七月崩溃和转移尝试之后到来的。综合来看,这些事件本值得进行更深入的调查。报告得出结论,一个更强的八月调查本可以在第二个密集期之前揭示该攻击。
这一点对滥用报告很重要。收件箱可能会被难以信服的声称、勒索、研究者报告、客户投诉和噪音淹没。把每一条消息都当真是不可能的。将分类视为最终决定也是危险的。高风险服务需要一条升级规则,结合声称的新颖性、声称者提供的手工艺品、同时期的异常和已知攻击路径。滥用者提交一条声称的成本可能几乎为零;一次全面取证调查的成本却不是。治理决定了何时足够的独立信号能证明支付那个成本是合理的。
9 月:第二个密集期
行为者在九月恢复了密集的凭据填充,并额外攻陷了 4,364 个账户。在整个攻击过程中,监管机构在五月和九月发现了成功与失败登录比例的两次可见扭曲。23ANDME 拥有能够检测该攻击的工具,但并未配置为对模式发出告警。阈值设置主要依靠手动,且公司未利用可用的设备、浏览器和网络信息对可疑的客户访问进行指纹识别。
这比说服务没有监控更精确。它有 Web 应用防火墙、基于 IP 的规则、挑战、速率限制、安全运营职能、SIEM 工具和一个漏洞赏金计划。失败之处在于控制集未能按攻击发生时的实际情况建模。分布式行动可以绕过简单的单 IP 限制。正确的凭据可以避开对重要账户的失败登录锁定。登录后的抓取可能看起来像热情的产品使用,除非系统测量图谱遍历、查询重复、会话速度以及聚合的关系触及范围。
10 月 1 日至 10 日:外部发现与初步遏制
10 月 1 日,行为者在 Reddit 上出售被盗数据。10 月 5 日,23ANDME 确认事件为真,并于 10 月 6 日宣布资料信息在未经授权的情况下被访问。其最初的公开声明将访问归因于凭据重用,并表示 DNA 亲属资料中的信息可能已被获取。(23ANDME 事件与行动计划更新)
遏制并非一次完成。10 月 9 日,在确认后四天,23ANDME 使活跃会话失效。10 月 10 日,它向所有客户发送邮件,要求全局密码重置并鼓励使用 MFA。公司于 10 月 15 日向 ICO 提交了初步报告,并于 10 月 18 日在加拿大办公室要求后向加拿大监管机构提交。初步的监管报告使用了全球 1,103,647 的受影响人群;10 月下旬的补充报告将该数字提高至 5,621,179。
这一顺序暴露了会话控制的重要性。更改密码并不一定会终止已认证的会话。响应计划必须单独使令牌失效、轮换或撤销其他凭据、停止高风险导出、保存证据并识别下游视图。监管机构判定,在最高优先级的客户数据事件被确认后,用四天时间禁用所有会话并强制重置密码实在太长了。
2023 年 11 月至 2024 年 1 月:更强的登录,更慢的通知
11 月 2 日,23ANDME 禁用了自助原始 DNA 下载。该功能于 2024 年 2 月 27 日恢复,增加了额外的出生日期检查。监管机构质疑出生日期作为强认证因子,因为它可能公开可得或存在于其他泄露中,尽管他们将公司的后续保障作为一个整体进行评估,而不是将这一步视为充分。
11 月 9 日,服务要求未使用应用 MFA 或 SSO 的客户强制添加基于邮件的两步验证。修订的 SEC 备案将这一要求定为 11 月初,并确认新用户和现有用户此后均需两步验证。基于应用的 MFA 先前已存在,本可以更早强制要求;23ANDME 却开发了一个更低摩擦的邮件方法。监管机构得出结论,这使得账户被暴露的时间超出了必要,同时也认可到 2024 年底,组合起来的补救控制措施是适当的。
通知层层进行。其 DNA 亲属信息被发布或确定被访问的人在十月份收到了通知。一些仅涉及家族树的澄清在十二月份跟进。直接遭到凭据填充的账户持有人直到 2024 年 1 月才被告知这一事实,距确认近三个月,且距公司称其取证调查完成已超过一个月。联合报告发现,在给监管机构和个人的通知中存在遗漏,包括原始 DNA 可能暴露、攻击时间段、信息被挂牌出售的实情以及某些账户字段。
计算账户、资料和人数
该事件没有一个诚实的单数,除非单位和日期伴随它。
约 0.1% 或大约 14,000 个账户:这是公司 2023 年 12 月上旬对直接凭据填充账户的描述。该百分比出现在修订版 8-K 中。当时的报道根据服务总人群将其转化为约 14,000。
18,222 个直接访问账户:这是 23ANDME 后来于 2024 年 7 月向加拿大-英国调查提供的全球总数:加拿大 769 个,英国 611 个。这是公开监管记录中更成熟的直接账户数字。
5,497,376 个 DNA 亲属资料和 1,468,791 个家族树资料:这些是后来向监管机构报告的全球字段组数量。报告称 DNA 亲属和家族树组是互斥的,而 DNA 亲属和祖源报告人群则不是。公司 2024 财年 10-K 表格将类别四舍五入描述为约 550 万 DNA 亲属资料和 150 万家族树资料。(23ANDME 2024 财年 10-K 表格)
全球 6,984,430 名受影响客户:23ANDME 于 2023 年 12 月 4 日向加拿大监管机构报告了这一总数,其中加拿大为 319,635 名。联合报告通常描述为近七百万受影响客户。美国集体诉讼后来将集体范围定为约 640 万美国居民。
这些数字描述了嵌套和相交的人群,而不是四个可以相加的数字。一个被直接访问的账户持有人也可能有 DNA 亲属资料。一个人可能既有祖源信息又有关系资料。一个家族树资料可能涉及账户持有人或树中代表的另一个人。精确性需要一种模式:人、账户、基因资料、关系记录、家族树节点、报告和已下载文件是不同的对象。
原始 DNA 计数更是边界分明。2024 年 7 月,23ANDME 报告了全球 18 次原始 DNA 下载,以及 49 例原始 DNA 被访问或浏览的实例。监管机构指出了取证方法的弱点,包括缺失原始云提供商日志和配置错误的自定义日志。2025 年 4 月,经进一步分析,23ANDME 将归因于行为者的原始 DNA 下载次数修订为全球 4 次,加拿大和英国均为零。监管机构并未独立验证这一修订。
正确的结论不是七百万人的原始 DNA 被下载。记录不支持这一点。也不是没有原始 DNA 被涉及。公司后来的立场是归因下载为 4 次,而监管机构记录了方法上的不确定性。这正是取证文章必须在证据边界处停下的地方。
一个成功会话可以揭示什么
数据还必须按访问路径进行划分。
对于直接访问的账户,可用字段可能包括全名、出生日期、生理性别、性别认同、电子邮件、国家和邮政编码、身高体重;祖源报告;健康报告;自我报告的健康状况;以及原始基因型信息。但这并不表示 18,222 个账户中的每一个都包含每个字段,也没有表示每个可用字段都被下载了。联合报告给出了一个更具体的报告计数:8,217 个已填充账户涉及健康报告,63 个涉及自我报告的健康状况。
对于关联的 DNA 亲属资料,暴露的材料虽更窄但仍敏感:姓名或显示名称、自我报告的出生年份和位置、资料图片、种族或民族起源、预测关系、共享 DNA 百分比、匹配片段以及可选的祖源和家族树信息。这就是乘数。行为者是通过直接访问账户的权限来查看这些记录的。
对于家族树资料,记录涉及的是关联家族树中代表的信息。一个家族树节点不应被轻率地等同于一个唯一的服务客户或原始基因记录。该产品可以描述亲属和家系,而不要求每个被代表的人都是受测的账户持有人。
对于攻击者挂牌出售,挂牌或发帖的事实并不能证实卖主附加的每个标签。监管机构认定部分数据被广告出售,且受影响通知应当披露这一事实。2026 年加利福尼亚州的起诉书对定向列表、赎金谈判、产品漏洞和公司陈述提出了额外指控。这些指控是严肃的,但截至发稿,起诉书只是一个初始诉状,而非判决。必须将其称为州政府的案件,而非转变为已裁定的事实。(加利福尼亚州总检察长投诉与声明)
这种分离可同时保护受影响人群免受两种错误之害:一是因为不总是原始文件而低估未经授权的祖源和关系披露,二是将事件夸大为七百万人的完整基因组被窃取。两者都扭曲了问责。
产品设计使得比率成为可能
产品的目的在于连接。DNA 亲属通过向客户展示广泛的匹配对象及足够上下文来识别家庭关系来创造价值。安全控制不能简单地消除所有共享可见性而不禁掉该功能。但它们可以管控一个会话积累多少权限以及能以多快速度行使该权限。
至少有五个设计问题随之而来。
第一,是否应该在每次登录后立即可见关系图谱?新设备、异常地点或最近恢复的账户在增强认证之前可接收缩减的视图。目标不是隐藏个人自己的结果,而是区分自我访问与对他人资料的大规模访问。
第二,一个会话的最大有用触及范围是多少?一款产品可能计算出数千个匹配,但它不必以机器速度交付,也不必通过每个端点暴露相同的字段。分页、按会话预算、逐步披露和目的绑定的导出可以在保持正常发现可用性的同时提高提取成本。
第三,哪些查询会揭示关系数据?安全遥测应当理解产品。计算 HTTP 请求要比测量查看的唯一资料数、家族树扩展、祖源报告检索、共享片段查询以及跨多个账户的重复遍历弱得多。一次攻击可在低于通用请求阈值的情况下违反每一种正常的关系使用模式。
第四,当查看者账户被入侵时,适用何种同意?一个人选择与使用该服务的基因亲属共享,而不是与任何能提供亲属密码的人共享。同意不能认证查看者。平台必须强制执行使共享选择仍有意义的条件。
第五,被关联的人能否查看或撤销暴露路径?账户事件历史有助于直接受影响的客户,但一个通过他人会话被查看资料的亲属并没有自己的自然会话日志。因此,服务需要具备图谱感知的事件分析和通知能力。它必须能够回答不仅是哪些账户被进入,还包括每个敌对会话触及了哪些其他资料。
这就是数据最小化成为操作控制的地方。从默认关系视图中移除可选的位置、出生年份或家族名称,可以在不取消匹配的情况下减少后果。将资料发现与详细的祖源报告分开可以创建一个增强边界。限制旧有或非活跃资料可降低保留的触及范围。这些是产品选择,而非密码说教。
MFA 默认值与密码的共同责任
客户不应重复使用密码。重复使用让一个服务的泄露变成进入另一个服务的钥匙,而攻击者仍应对利用该行为负责。但客户的过错并未穷尽平台的责任。服务知道凭据重复使用非常普遍,足以成为一种标准威胁模型。美国联邦贸易委员会在 2017 年警告称,保护敏感账户的公司应当结合使用认证技术,因为攻击者会大规模自动化被盗凭据。(FTC 关于安全密码与认证的指导)
23ANDME 的责任因会话触及范围而被加重。直接访问的客户通过密码重复使用将自己账户置于风险之中;他们并未将产品配置为暴露多达数千的匹配对象。关联的亲属完全没有选择被入侵的密码。公司是唯一有能力使更强的认证在整个服务中强制实施的参与者。
监管机构指出了三个预防性缺口:强制 MFA、泄露密码检查与最低密码强度。关于密码筛查的记录内部不一致。一份回复称公司未对照泄露数据集进行检查;一次访谈则称其依据 2021 年数据集对 20,000 个常用密码进行了检查。无论哪个版本,相比对照广泛语料库持续筛查都要窄得多。
当前技术指南支持分层控制。NIST SP 800-63B 要求对照常见、预期或泄露值检查候选密码并进行有效的速率限制;它还明确指出密码不具备防钓鱼能力。(NIST SP 800-63B)OWASP 的凭据填充防护指南补充了上下文 MFA、设备和连接信号、泄露密码识别、用户事件可见性以及跨防御的度量。(OWASP 凭据填充防护备忘单)这些是基准,而非证明某一控制本可阻止每种技术的证据。
强制的邮件两步验证相对于仅密码登录是一个有意义的改进,但它不是可能的最强因子。如果邮件账户共享同一泄露密码,攻击者可能触及两者。应用认证器和防钓鱼方法可以提供更强的分离。成熟的设计可以将一个广泛可及的强制基线措施与更强的选项、基于风险的增强认证和强化的恢复相结合。它应当衡量采用率和绕过路径,而不仅仅是宣布某项功能存在。
当认证成功时,抓取便是一个安全事件
凭据填充在总体尝试中仅偶尔成功,但随后的抓取使得那些成功变得价值巨大。这改变了检测,将一个登录问题转变成一个会话行为问题。
监管机构发现在五个月期间尽管有数千个账户被访问却没有任何警报。他们能够从成功与失败登录的比例识别出五月和九月的攻击时段。他们还发现 23ANDME 持有用于指纹识别所需的设备、浏览器和网络数据,但未将其用于该目的,理由是其他控制和隐私顾虑。
那项权衡值得仔细对待。设备指纹识别如果被无限制收集或为广告目的重新利用,可能变成侵入性追踪。答案不是以安全之名进行无限制的监视。答案是目的限制:收集必要的最少信号、定义保留期、将欺诈遥测与营销隔离开、提供透明度、限制访问并测试有效性。一项控制的隐私代价应纳入设计评审;同样,让数百万关联资料可抓取的隐私代价也应纳入。
服务还需要聚合控制。单个 IP 地址不是唯一有用的单位。防御者可以按凭据来源、设备家族、网络区块、自动化指纹、会话集群和资料查看模式评估尝试次数。他们可以设定唯一亲属查看数预算、检测均匀遍历、将导航时间与人类行为比较,并挑战高风险导出。目标不是声称完美的机器人检测,而是使提取变慢、更嘈杂、更昂贵,同时产生分析师能够采取行动的证据。
滥用接触经济学同样适用于响应渠道。安全团队需要一条低摩擦途径以供客户和研究者报告可疑行为,但每个廉价渠道都会吸引噪音。分类应保留手工艺品,将报告链接到遥测,并基于组合信号升级。2023 年 8 月的消息显示,为何驳回一项声称不能成为记录的终点:即便是一条虚假的数量声称,在平台已在自动化下崩溃并出现数百次可疑转移尝试时,也能指向真实的一类活动。
通知必须追踪人,而非账户
公司随着其分析的发展在 2023 年 10 月至 2024 年 1 月间通知了不同群体。这在原则上是可以理解的:事件范围会变化,过早的确定性可能误导。监管机构的发现则更加具体。十月份发给关联资料主体的通知没有提及部分信息已被挂牌出售。发给直接访问账户持有人的通知来得较晚,且未能一致描述所有账户设置字段或四月至九月的攻击时间段。初步给监管机构的报告遗漏了被填充账户中的原始 DNA、健康和祖源报告可能已受影响的可能性。
通知设计继承了产品的数据模型。如果响应系统始于一个被侵账户 ID 的列表,它自然会首先联络账户持有人。但最大的受影响群体是那些其资料通过他人账户被触及的人。一个具备图谱感知能力的泄露处理流程需要一个暴露分类账:敌对会话、来源账户、已查端点、关联资料、可用字段、已检索字段、时间、司法管辖区和通知状态。
该分类账也能防止过度通知。一个显示名称和共享 DNA 百分比被查看的人应收到说明此事的通知,而非暗示原始基因型文件被下载的通用警告。一个拥有健康报告访问权限的直接访问账户持有人需要不同的消息。一个并非账户持有人的家族树主体可能再次需要不同的法律和实践路径。
联合报告认定该漏洞达到了加拿大 PIPEDA 和英国 GDPR 下的通知阈值。它还认定在这些制度下存在延迟和内容缺陷。加拿大专员将改善的保障措施视为解决了安全控制问题,而英国监管机构处以 231 万英镑罚款,涉及 155,592 名英国用户的失职以及持续到 2024 年底的违规行为。(英国 ICO 23ANDME 执法记录)该罚款并非漏洞的全球价码;它反映了单一下架机构的权力、人群和法律分析。
数据位置不仅仅是服务器在哪里
该事件显示出三种不同的地点性。
存储地点性问的是个人信息、样本、日志和备份在物理或合同上位于何处。它对转移机制、政府访问、供应商风险和客户期望很重要。但没有经审查的证据表明,将不变的产品移至另一国服务器就能阻止有效的重用凭据打开相同的资料。
访问地点性问的是权限在哪里被强制执行。在本案中,决定性边界是逻辑上的:一个成功的客户会话可以触及关联资料。更强的认证、会话风险、查询限制和资料级授权即使每个字节保留在同一设施内,也会改变那种地点性。
法律地点性问的是哪种法律和监管机构附着于个人、控制者、处理方式和转移。加拿大和英国当局能够联合调查一家美国公司,因为加拿大和英国居民受到影响,且他们各自的法律适用。他们的报告给出了分开的国家计数、分开的通知义务和分开的结论。协调减少了重复的事实调查,但并未将 PIPEDA 和 UK GDPR 合并为一部法律。
公司当前的隐私声明区分了遗传信息、样本信息、自我报告信息、账户数据和共享选择,并提供了区域特定的权利和联系方式。它还表示,账户删除会触发研究退出和样本丢弃,但受限于所述的限度。当前政策对于评估当前承诺是有用的,但它不能证明每位客户在 2023 年理解了什么,或历史控制措施按承诺运行了。(23ANDME 当前隐私声明)
破产使得法律地点性变得具体化。23ANDME Holding Co. 及其子公司于 2025 年 3 月提交了 Chapter 11 破产申请。FTC 主席警告美国托管人,敏感基因、样本、健康和关系信息的出售或转移必须尊重有关隐私、选择和删除的承诺。(FTC 就 23ANDME 破产致函)加拿大和英国监管机构也分别致信美国官员,提出有关其管辖范围内个人的义务。(加拿大-英国联合破产隐私信函)
2025 年 7 月,法院批准的将几乎所有运营资产出售给 TTAM 研究所(后称 23ANDME 研究所)的交易以 3.05 亿美元完成。购买方承诺遵守现有隐私选择、删除和研究退出设置;将特定未来转移限制于采纳相同政策的合格国内实体;创建一个隐私咨询委员会;并就隐私程序进行报告。SEC 备案确认了交易完成,而资产购买文件描述了保护措施。(23ANDME 出售完成表格 8-K)
这些条款表明,数据治理可以作为义务在所有权变更中存续,而不是作为不受限制的资产移转。它们并不使地理位置成为完全的保护措施,也不消除关于个人同意在法律上是否为转移所必需的争议。各州总检察长质疑了拟议的出售;客户被提醒了删除和样本销毁选项;该交易仍然在法院授权和谈判条件下完成了。教训并不是破产自动取消隐私承诺,或一份隐私政策能摆平每个债权人和州法问题,而是管理条款、删除能力和辖区特定权利需要在困境来临之前设计好,在证据和人员配置更强的时候。
成本衡量着不同的事物
23ANDME 报告了 2024 财年 460 万美元的事件费用,扣除了 280 万美元可能获得的保险赔偿,主要用于技术咨询、法律工作和其他顾问。这些是公司响应成本,而不是客户损害的估值。
私人诉讼产生了另一组数字。一项拟议的美国集体和解起始于一个 3000 万美元的非归复基金,并进入了破产程序。最终架构提供了至少 3000 万美元且最高可达 5000 万美元的基金、针对符合条件的申领的现金类别以及五年的隐私、医疗和基因监测。破产法院于 2026 年 1 月 30 日予以最终批准。官方和解网站称,集体涉及约 640 万美国居民,现金申领截止日已过,分配有待破产协调结束。(23ANDME 数据和解官方网站)
和解协议按其条款解决了私人索赔并免除了涵盖的索赔。它并不是一个认定每一项被起诉的指控都为真的审判结果,并且和解利益并不证明某个申索人遭受了特定的基因滥用。监测标签不应被误认为技术上有能力逆转一次暴露。它是一项约定的服务福利和风险支持机制。
2025 财年 10-K 表格描述了当时结构的集体、仲裁和州法院和解下的 3750 万美元总承诺,以及诉讼和监管风险敞口。该备案时间早于最终的破产调整和批准,因此不应用其替代后来法庭管理的基金描述。它仍然是多个争议渠道如何围绕一个事件积累的有用证据。(23ANDME 2025 财年 10-K 表格)
英国罚款衡量的是一个特定司法管辖区和时间段的公法侵权。2026 年加利福尼亚州投诉是另一项公共执法行动,指控违反了《遗传信息隐私法》、《加州消费者隐私法》、合理安全法和消费者保护法规。它还指控了超出 2025 年联合报告的额外事实。这些仍属指控,除非被承认或被证明。私人和解、监管罚款、保险追偿和破产出售收益应放在不同的栏目中;将它们加总为一个“漏洞成本”会产生一个财务上整洁但法律上无意义的总数。
补救措施已具体到可检验的程度
截至 2024 年 12 月 31 日,23ANDME 告知加拿大-英国调查人员,它已实施了一套更广泛的控制措施。监管机构集体接受了这些措施,认为足以解决他们所识别的保障问题,且英国监管机构从那时起将公司视为满足了相关安全要求。这是一项有意义且有利的发现,并带有一个边界:它不认证在所有权和组织变更后的永久有效性。
报告的变化包括:12 字符最小密码,在注册、登录和重置时对照一个规模大得多的泄露密码语料库进行检查,强制邮件两步验证,围绕原始数据和健康数据下载的保护,原始 DNA 交付前 48 小时延迟,模拟凭据填充演练,修订的监控,超过 253 条新 SIEM 告警,基于行为的会话监控,暗网监控,可信浏览器功能以及可下载的账户事件历史。产品、安全和工程治理也得到了加强。
控制清单不等于控制结果。有用的下一步是要求证据而不强求可利用的细节。
| 问责问题 | 公开证据 | 持续检验 |
|---|---|---|
| 一个重用密码是否仍能单独打开一个敏感账户? | 强制邮件 2SV 或 SSO,且应用 MFA 可用。 | 每种因子保护的登录百分比;恢复绕过率;高风险会话的增强;因子重置滥用。 |
| 已知泄露密码是否被拒绝? | 据报告在注册、登录和重置时进行广泛的泄露凭据筛查。 | 语料库的新鲜度、覆盖率、误报处理以及在成功认证前被阻止的尝试。 |
| 一个会话能否枚举数千名亲属? | 据报告有行为监控和新的告警;关于关系查询预算的公开细节有限。 | 每个会话查看的唯一资料数、自动化遍历检测、端点配额、挑战有效性以及批量访问例外。 |
| 服务能否检测到分布式攻击? | 据报告有凭据填充模拟、比率感知规则、253 条以上告警及扩展日志。 | 按攻击阶段的检测时间、演练中的告警召回、低频缓慢场景以及分析员关闭质量。 |
| 客户能否检查账户活动? | 据报告有可信浏览器和可下载账户事件历史功能。 | 会话、导出和因子更改历史的完整性;保留;通知递送;用户报告异常后的跟进。 |
| 原始数据能否在没有更强证明的情况下离开? | 已引入额外验证和 48 小时延迟。 | 增强强度、取消工作流、下载日志完整性、与存储提供商日志的独立核对。 |
| 事件响应能否绘制关联人员的图谱? | 监管机构要求更好的流程和通知;公开的图谱级响应指标有限。 | 识别间接查看资料的时间、字段级通知准确性以及辖区映射。 |
| 控制在所有权变更或财务困境中能否存续? | 出售条款保留了删除、同意和监管承诺。 | 人员配置、咨询委员会报告、安全预算、独立鉴证及未来转移合规性。 |
48 小时延迟在与安全通知和取消配合时展示了良好的摩擦:它剥夺了敌对会话即时提取的能力,并给予真正用户时间做出反应。但仅延迟而没有可信联系渠道只是推迟了损失。出生日期检查可能在依赖其他处可见的信息时增加了仪式感而作用不大。控制措施应作为一个链条来评估。
同样的原则适用于强制邮件 2SV。当仅有 23ANDME 密码可用时,它很可能阻止了本次攻击的简单版本。当邮件账户同样受到入侵时它则较弱。应鼓励所有用户采用更强的因子,并要求针对特别重要的操作使用它们。平台应维持为丢失因子的人提供恢复路径,同时避免使支持交互成为最轻易的绕过途径。
谁控制了什么
威胁行为者控制了尝试被盗凭据、进入账户、自动化产品功能、抓取资料以及发布或提供信息的决定。犯罪意图不因控制薄弱而转移给公司。
拥有复用凭据的客户控制了他们在不同服务中的密码选择,并且本应使用唯一密码和可用的 MFA。他们的责任是真实但有限的。他们未控制监控、功能授权、会话失效或通过他们账户可见的亲属数量。
关联亲属和资料主体控制了一些共享选择和可选字段。他们未控制每个匹配账户的安全性或平台在仅密码登录后授予广泛可见性的决定。选择加入一项功能不是对敌对自动化的同意。
23ANDME控制了客户认证基线、密码筛查、会话和导出设计、匹配可见性、遥测、事件分类、响应时机、数据映射和通知。它还选择了敏感度模型,并可以比较员工账户和客户账户的保护。这就是为什么实践的问责最沉重地落在服务身上,即使它未产生那些复用的凭据。
监管机构和法院控制了特定法律和程序中的补救措施。加拿大和英国专员可以为其居民就保障措施和通知做出调查结论。英国当局可处以罚款。破产法院可批准出售与和解条款。加利福尼亚州可提起州诉讼。无一拥有对每位客户或每个问题的普遍管辖权。
继任机构在资产出售后控制着运营服务并继承了管理承诺。前上市控股公司更名为 Chrome Holding Co.,仍与破产分配和诉讼相关。清晰的命名很重要,因为客户应知道哪个实体运营产品、哪个持有数据、哪个负有和解义务以及哪个接收删除请求。
仍未知的是什么
公开记录不包括完整的取证报告、所有事件日志、完整的敌对基础设施、确切的凭据来源、所有端点代码或完整的查询历史。监管机构明确指出了缺失的所请求材料及原始下载日志的弱点。一个确信的叙事必须保留这些空白。
并未确认 23ANDME 自己的凭据存储被入侵。公司一贯表示未发现迹象表明它提供了用户名-密码对,而监管机构描述了一个使用在其他事件中窃取的凭据的凭据填充行动。
并未确认近七百万份原始基因型文件或健康报告被下载。最大的人群涉及 DNA 亲属、祖源和家族树信息。直接账户字段和原始数据事件是较小且分别计数的类别。
并未确认每份攻击者广告都是准确的,某个特定意识形态动机驱动了记录的选择或营销,或每份被声称的记录都是唯一的。信息使用敏感的祖源类目进行营销这一事实对于通知和风险评估很重要;动机和下游使用仍需证据。
在经审阅的材料中,并未确认某一特定个人因这一事件遭受了就业歧视、保险拒绝、医疗伤害、执法目标锁定或身份盗用。这些是围绕基因和身份数据可想象的关切,但可能性不是一项发现。
也并未确认补救措施将无限期保持有效。监管机构接受了截至 2024 年底的组合措施。破产、人员变动和向新机构的转移使得持续保障格外重要。一项通过了单次审查的控制可能因配置更改、预算压力或新产品路径而退化。
问责始于他人账户的边缘
事件始于可用的凭据。它之所以成为大规模暴露,是因为服务将更多权限加于那些凭据之上,超出了直接访问者自己的记录范围。这是超越 23ANDME 值得携带的问责镜头。
任何围绕家庭、团队、患者、学生、家族树或社交图谱构建的平台,都可能通过一个人的会话暴露另一个人。因而正确的分母不是被入侵的账户,而是从被入侵的权限可触及的人和记录。正确的控制不仅是更强的登录,更是结合了受限制的会话触及范围、产品感知的抓取检测、可靠的导出证据、快速遏制以及人员级通知的更强登录。
数据主权遵循同样的逻辑。如果一个远程会话可以遍历全球关系图谱,国内服务器并不创造本地控制。如果在出售过程中删除、同意和转移义务消失,隐私政策并不保留选择。法律司法管辖区不能整齐地映射到系统架构,因此服务必须携带着居住地、权利和通知状态与数据同行。
最可辩护的结论比最响亮的漏洞标题更窄,且比公司最初的解释更为苛求。密码复用打开了门。产品设计将其扩宽。监控未能识别重复的通行。响应和通知在不同日期关闭了它的不同部分。后来的控制措施、监管发现和法院条款创造了一个可衡量的问责记录。剩余的持续义务是证明一个人的账户不能再成为通往数千人生活的廉价提取路线。
排版
排版是安排字体的艺术与技术,旨在使书面语言清晰、可读且视觉上吸引人。它涉及选择字体、字号、行长、字间距和行间距。
- 排版起源于 15 世纪约翰内斯·古登堡发明的活字印刷。
- 关键元素包括字体选择、字距调整、字间距和行间距。
- 良好的排版可以增强可读性,并在设计中传达情绪或基调。

