A empresa de testes genéticos 23andMe anunciou na sexta-feira que hackers acessaram cerca de 14.000 contas de clientes na recente violação de dados da empresa.
Em um novo registro junto à Comissão de Valores Mobiliários dos EUA publicado na sexta-feira, a empresa disse que, com base na investigação do incidente, determinou que hackers acessaram 0,1% de sua base de clientes. De acordo com o relatório anual de lucros mais recente da empresa23andMe tem “mais de 14 milhões de clientes em todo o mundo”, o que significa que 0,1% é cerca de 14.000.
Mas a empresa também disse que, ao acessar essas contas, os hackers também conseguiram acessar “um número significativo de arquivos contendo informações de perfil sobre a ascendência de outros usuários que esses usuários optaram por compartilhar ao optar pelo recurso DNA Kin da 23andMe”.
A empresa não especificou qual é esse “número significativo” de arquivos, nem quantos desses “outros usuários” foram impactados.
A 23andMe não respondeu imediatamente a um pedido de comentário, que incluía perguntas sobre esses números.
No início de outubro, 23andMe divulgou um incidente em que hackers roubaram dados de alguns usuários usando uma técnica comum conhecida como “preenchimento de credenciais”, por meio da qual os cibercriminosos invadem a conta da vítima usando uma senha conhecida, talvez vazada devido a uma violação de dados em outro serviço.
Os danos, porém, não pararam nos clientes que tiveram suas contas acessadas. 23andMe permite que os usuários optem por um recurso chamado Parentes de DNA. Se um usuário aceitar esse recurso, a 23andMe compartilhará algumas das informações desse usuário com outras pessoas. Isso significa que, ao acessar a conta de uma vítima, os hackers também conseguiram ver os dados pessoais das pessoas conectadas a essa vítima inicial.
A 23andMe disse no documento que, para os 14.000 usuários iniciais, os dados roubados “geralmente incluíam informações de ancestralidade e, para um subconjunto dessas contas, informações relacionadas à saúde baseadas na genética do usuário”. Para o outro subconjunto de usuários, 23andMe disse apenas que os hackers roubaram “informações de perfil” e depois postaram “certas informações” não especificadas on-line.
O TechCrunch analisou os conjuntos publicados de dados roubados, comparando-os com registros genealógicos públicos conhecidos, incluindo websites publicados por hobbyistas e genealogistas. Embora os conjuntos de dados tenham sido formatados de forma diferente, eles continham algumas das mesmas informações genéticas e de usuário exclusivas que correspondiam aos registros genealógicos publicados on-line anos antes.
O proprietário de um website de genealogia, para o qual algumas informações de seus parentes foram expostas na violação de dados do 23andMe, disse ao TechCrunch que eles descobriram cerca de 5.000 parentes através do 23andMe, e disse que nossas “correlações podem levar isso em consideração”.
Notícias da violação de dados apareceu on-line em outubro, quando hackers anunciaram os supostos dados de um milhão de usuários de ascendência judaica Ashkenazi e de 100 mil usuários chineses em um conhecido fórum de hackers. Aproximadamente duas semanas depois, o mesmo hacker que anunciou os primeiros dados roubados do usuário anunciou os supostos registros de mais quatro milhões de pessoas. O hacker estava tentando vender os dados de vítimas individuais por US$ 1 a US$ 10.
TechCrunch descobriu que outro hacker em um fórum de hackers diferente havia anunciado ainda mais dados de usuários supostamente roubados dois meses antes o anúncio que foi inicialmente divulgado pelos meios de comunicação em outubro. Nesse primeiro anúncio, o hacker alegou ter 300 terabytes de dados de usuários roubados do 23andMe e pediu US$ 50 milhões para vender todo o banco de dados, ou entre US$ 1.000 e US$ 10.000 por um subconjunto dos dados.
Em resposta à violação de dados, em 10 de outubro, a 23andMe forçou os usuários a redefinir e alterar suas senhas e os incentivou a ativar a autenticação multifator. E em 6 de novembro, a empresa exigiu que todos os usuários usassem a verificação em duas etapas, de acordo com o novo documento.
Após a violação do 23andMe, outras empresas de testes de DNA Ancestry e MyHeritage começou a exigir a autenticação de dois fatores.