A 23andMe confirmou que uma violação recente vazou dados pertencentes a 6,9 milhões de usuários. Em uma declaração por e-mail à The Verge, o porta-voz da empresa Andy Kill diz que a violação afetou cerca de 5,5 milhões de usuários que tinham a função DNA Relatives habilitada, um recurso que combina usuários com constituições genéticas semelhantes, enquanto outros 1,4 milhão de pessoas tiveram seus perfis de árvores genealógicas acessados.
Em um registro junto à Comissão de Valores Mobiliários (SEC) e atualização em seu blog em 1o de dezembro, a 23andMe disse que um ator de ameaça usando um ataque de credenciais, ou seja, usando dados de login obtidos em outras violações de segurança, geralmente devido à reutilização de senha, acessou diretamente 0,1% das contas dos usuários, o que representa cerca de 14.000 usuários. Com acesso a essas contas, os atacantes usaram o recurso DNA Relatives, que combina pessoas com outros membros com quem podem compartilhar ancestralidade, para acessar as informações adicionais de milhões de outros perfis.
Sua declaração de sexta-feira observou que o hacker também acessou “um número significativo de arquivos” via o recurso Relatives, mas não incluiu a figura citada acima. Kill diz à The Verge: “Ainda não temos qualquer indicação de que tenha ocorrido um incidente de segurança de dados dentro de nossos sistemas ou que a 23andMe foi a fonte das credenciais de conta usadas nesses ataques.” Essa declaração contradiz o fato de que as informações de 6,9 milhões de usuários agora estão nas mãos dos atacantes.
Os primeiros sinais públicos de problemas surgiram em outubro, quando a 23andMe confirmou que as informações do usuário estavam à venda no dark web. O site de testes genéticos disse depois que investigava as alegações de um hacker de que vazou perfis genéticos de 4 milhões de pessoas no Reino Unido e “as pessoas mais ricas dos EUA e da Europa Ocidental”. Os 5,5 milhões de perfis do DNA Relatives vazados incluíam usuários que não faziam parte do ataque inicial de credenciais reutilizadas. Os dados revelados incluem coisas como nomes de exibição, relacionamentos previstos com outros, a quantidade de DNA compartilhada com correspondências, relatórios de ancestralidade, locais auto-relatados, locais de nascimento de ancestrais, nomes de família, fotos de perfil e mais.
Os 1,4 milhão de usuários restantes que também participaram do recurso DNA Relatives tiveram seus perfis de árvore genealógica acessados. Este recurso similarmente inclui nomes de exibição, rótulos de relacionamento, ano de nascimento e locais auto-relatados. Não inclui a porcentagem de DNA compartilhada com possíveis parentes no site ou segmentos de DNA combinados. A 23andMe diz que ainda está no processo de notificar os usuários afetados pela violação. Também começou a alertar os usuários para redefinir suas senhas e agora exige verificação em duas etapas para novos e usuários existentes, que anteriormente era opcional.
#tecnologia #primeirapágina #cíbersegurança #tecnologia #notícias #Ciência #privacidade #rede