近700万人的基因数据,在黑客手里进出五个多月,公司居然毫无察觉,直到对方主动找上门来要赎金。这不是小说情节,而是基因检测公司23andMe(现更名为Chrome Holding)真实上演的一场安全灾难。本周四,加州总检察长罗布·邦塔向旧金山高等法院提起诉讼,指控该公司的安全措施漏洞百出,未能保护用户的敏感个人信息。

这纸诉状用词相当严厉。邦塔办公室在投诉中指出,“23andMe的安全措施松懈到威胁行为者能够在其系统中未被发现地操作了五个多月。更不可思议的是,23andMe是在攻击者在暗网上兜售用户数据并索要赎金后才开始调查。”这句话的背后,是一场持续数月、无声无息的数字洗劫。

打开网易新闻 查看精彩图片

攻击手段并不高明,却一击即中。根据披露,黑客使用的是“凭证填充攻击”——说白了,就是拿着从过往其他网站泄露事件中捞来的海量用户名和密码,用自动化脚本不断去撞库尝试登录