Aproximadamente 7 milhões de clientes de uma empresa de testes genéticos e biotecnologia 23andMe foi vítima de um vazamento de dados em outubro. Hackers obtiveram acesso não autorizado e extraíram dados de perfil, afetando uma parcela significativa da base de usuários da empresa.
Hackers obtêm acesso a dados confidenciais no banco de dados 23andMe
Em uma revelação surpreendente, empresa de testes genéticos e biotecnologia 23andMe confirmado na segunda-feira que aproximadamente 7 milhões de clientes foram vítimas de um vazamento de dados em outubro. O amplo incidente de segurança cibernética envolveu o acesso não autorizado e a extração de dados de perfil de usuário, afetando uma parcela significativa da base total de clientes da empresa.
Em resumo, hackers direcionaram os dados de um serviço chamado DNA Relatives, raspando informações como nomes de exibição, relatórios de ancestralidade, e dados confidenciais relacionados à saúde. As informações comprometidas incluem dados de saúde confidenciais, permitindo uma análise enormemente ampla. Os relatórios também revelam o status de portador do gene de um usuário para doenças como a fibrose cística, Tipo Tay-Sachs 2 diabetes, e doença de Parkinson.
23andMe hackeado em outubro
A violação começou no início de outubro, quando hackers poderiam acessar diretamente 14,000 23contas de clientes andMe. Criminosos usaram credenciais roubado de violações de terceiros não relacionadas. Embora a fonte desta informação não seja especificada (embora saibamos o que está por trás de tudo isso), 23andMe esclarece que não houve indicação de que seus sistemas tenham sido comprometidos.
Próximo, hackers visaram o recurso DNA Parents, raspando informações como nomes de exibição, relatórios de ancestralidade, e dados confidenciais relacionados à saúde. O número total de usuários expostos cresceu para 6.9 milhão. Foi possível com cada conta comprometida potencialmente conectado a centenas ou milhares de parentes.
Quem está sob ataque?
De acordo com as afirmações da empresa, uma conta média da 23andMe teve acesso a informações de 1,500 Parentes de DNA. Em outras palavras, os invasores o usaram para aproveitar essas contas para extrair dados genéticos de 5.5 milhões de parentes de DNA’ perfis vazados, e um adicional 1.4 milhões tiveram seus perfis da Árvore Familiar expostos.
Dos quase 7 milhões de usuários afetados, 1 milhões eram de ascendência judaica Ashkenazi, e 300,000 eram usuários da herança chinesa. Isto sugere que essas comunidades foram explicitamente visadas por seus dados ancestrais. Mais relatado 4.1 milhões de perfis vazados pertenciam a consumidores britânicos e alemães da 23andMe. A violação expôs nomes de exibição de clientes, relatórios de ancestralidade, and sensitive health information.
Reação oficial
Ao descobrir atividades suspeitas, 23andMe redefiniu todas as senhas de usuário em 9 de outubro. A empresa também está notificando os clientes afetados e cumprindo os requisitos legais. Além disso, eles tomaram medidas temporárias para desativar certos recursos da ferramenta DNA Relatives.
Quanto a medidas realmente eficazes, desde então, autenticação multifator ou de dois fatores foi obrigatório para todas as contas (essas informações confidenciais não são necessárias antes?). O problema era que os usuários não davam muita importância à proteção de suas contas. Como resultado com contas de 14k, os atacantes conseguiram tirar a sorte grande 6.9 milhões de contas.