UN Deposito alla SEC ha rivelato maggiori dettagli su una violazione dei dati che colpisce gli utenti di 23andMe che è stato rivelato all’inizio di questo autunno. La società afferma che la sua indagine ha rilevato che gli hacker sono stati in grado di accedere agli account di circa lo 0,1% della sua base utenti, ovvero circa 14.000 dei suoi 14 milioni di clienti totali. TechCrunch Appunti. Oltre a ciò, gli aggressori sono riusciti a sfruttare la funzione opt-in DNA Relatives (DNAR) di 23andMe, che abbina gli utenti ai loro parenti genetici, per accedere a informazioni su milioni di altri utenti. Un portavoce di 23andMe ha detto a Engadget che gli hacker hanno avuto accesso ai profili DNAR di circa 5,5 milioni di clienti in questo modo, oltre alle informazioni sui profili di Family Tree di 1,4 milioni di partecipanti DNA Relative.
I profili DNAR contengono dettagli sensibili tra cui informazioni auto-riportate come nomi visualizzati e posizioni, nonché percentuali di DNA condivise per corrispondenze di parenti DNA, cognomi, relazioni previste e rapporti di ascendenza. I profili di Albero genealogico contengono nomi visualizzati ed etichette di relazione, oltre ad altre informazioni che un utente può scegliere di aggiungere, inclusi anno di nascita e luogo. Quando la violazione è stata rivelata per la prima volta in ottobre, la società ha affermato che la sua indagine “ha rilevato che non erano trapelati risultati di test genetici”.
Secondo la nuova documentazione, i dati “generalmente includevano informazioni sugli antenati e, per un sottoinsieme di tali account, informazioni relative alla salute basate sulla genetica dell’utente”. Tutto questo è stato ottenuto attraverso un attacco di credential stuffing, in cui gli hacker hanno utilizzato le informazioni di accesso di altri siti Web precedentemente compromessi per accedere agli account di tali utenti su altri siti. In tal modo, si legge nel documento, “l’autore della minaccia ha anche avuto accesso a un numero significativo di file contenenti informazioni sul profilo sugli antenati di altri utenti che tali utenti hanno scelto di condividere quando hanno aderito alla funzione DNA Relatives di 23andMe e hanno pubblicato determinate informazioni online.”
Dopo la scoperta della violazione, 23eIo ha incaricato gli utenti interessati di modificare le proprie password e successivamente ha implementato l’autenticazione a due fattori per tutti i suoi clienti. In un altro aggiornamento di venerdì, 23andMe ha affermato di aver completato le indagini e di avvisare tutti coloro che sono stati interessati. La società ha anche scritto nella dichiarazione che “ritiene che l’attività dell’autore della minaccia sia contenuta” e sta lavorando per rimuovere le informazioni pubblicate pubblicamente.
Aggiornamento, 2 dicembre 2023, 19:03 ET: questa storia è stata aggiornata per includere le informazioni fornite da un portavoce di 23andMe sulla portata della violazione e sul numero di partecipanti di DNA Relative interessati.
