El servicio que elabora perfiles genéticos sufrió el ataque hace dos meses, pero no lo divulgó. Habría 13 millones de piezas de datos robados, como origen, fenotipo, información de salud, fotos e identificaciones.
El servicio de perfil genético 23andMe ha iniciado una investigación después de que datos privados de usuarios fueran extraídos de su sitio web. La confirmación llega cinco días después de que una entidad desconocida anunciara en un foro en línea la venta de información privada de millones de usuarios de 23andMe. Según las publicaciones del foro, los datos robados incluían estimación de origen, fenotipo, información de salud, fotos y datos de identificación.
Alegaron que el CEO de 23andMe estaba al tanto de que la compañía había sido "hackeada" dos meses antes y nunca reveló el incidente. En una declaración enviada por correo electrónico después de que se publicara la noticia, un representante de 23andMe afirmó que "nada de lo que han publicado públicamente indica que realmente tengan alguna 'información de salud'. Estas son afirmaciones no corroboradas en este momento".
Los funcionarios de 23andMe confirmaron el viernes que los datos privados de algunos de sus usuarios están, de hecho, a la venta. La causa de la filtración, dijeron los funcionarios, es la extracción de datos, una técnica que básicamente recompone grandes cantidades de datos extrayendo sistemáticamente cantidades más pequeñas de información disponible para los usuarios individuales de un servicio. Los atacantes obtuvieron acceso no autorizado a las cuentas individuales de 23andMe, todas las cuales habían sido configuradas por el usuario para optar por una función de parientes de ADN que les permite encontrar posibles parientes.
En una declaración, los funcionarios escribieron:
"No tenemos ninguna indicación en este momento de que haya ocurrido un incidente de seguridad de datos en nuestros sistemas. Más bien, los resultados preliminares de esta investigación sugieren que las credenciales de inicio de sesión utilizadas en estos intentos de acceso pueden haber sido obtenidas por un actor amenazante a partir de datos filtrados durante incidentes en otras plataformas en línea donde los usuarios han reciclado credenciales de inicio de sesión.
Creemos que el actor amenazante puede haber accedido, en violación de nuestros términos de servicio, a cuentas de 23andme.com sin autorización y obtenido información de esas cuentas. Estamos tomando este problema en serio y continuaremos nuestra investigación para confirmar estos resultados preliminares."
Vea también: Nadie está a salvo: Casino en Las Vegas sufre hackeo
La función de parientes de ADN permite a los usuarios que optan por ella ver información básica del perfil de otros que también permiten que sus perfiles sean visibles para los participantes de Parientes de ADN. Si el ADN de un usuario que opta por ella coincide con otro, ambos pueden acceder a la información de ascendencia del otro.
La publicación del foro del crimen afirmaba que los atacantes obtuvieron "13 millones de piezas de datos". Los funcionarios de 23andMe no han proporcionado detalles sobre la información filtrada disponible en línea, el número de usuarios a los que pertenece o dónde se está poniendo a disposición. El viernes, The Record y Bleeping Computer informaron que una base de datos filtrada contenía información de 1 millón de usuarios de ascendencia ashkenazi, todos los cuales habían optado por el servicio de parientes de ADN. The Record dijo que una segunda base de datos incluía a 300.000 usuarios de ascendencia china que también habían optado por ello.
Los datos incluían números de perfil y de cuenta, nombres de usuario, género, año de nacimiento, haplogrupos maternos y paternos, resultados de ascendencia ancestral y datos sobre si cada usuario había optado por los datos de salud de 23andme. Parte de estos datos solo se incluye cuando los usuarios eligen compartirlos.
The Record también informó que el sitio web de 23andMe permite a las personas que conocen el ID de perfil de un usuario ver la foto de perfil, el nombre, el año de nacimiento y la ubicación de ese usuario. El representante de 23andMe dijo que "cualquier persona con una cuenta de 23andMe que haya optado por ser pariente de ADN puede ver la información básica del perfil de cualquier otra cuenta que también haya optado explícitamente por hacer su perfil visible para otros participantes de ADN Relativo."
Mientras que almacenar información genética en línea tiene beneficios para que las personas puedan rastrear su herencia y encontrar a familiares, también existen claras amenazas a la privacidad. Incluso si un usuario elige una contraseña sólida y utiliza la autenticación de dos factores, como 23andMe ha instado durante mucho tiempo, sus datos aún pueden ser recopilados en incidentes de extracción como el recientemente confirmado. La única forma segura de protegerla contra el robo en línea es no almacenarla allí en primer lugar.
Comments