La società di test genetici 23andMe sta indagando su una violazione dei dati che ha esposto le informazioni dei clienti, tra cui foto del profilo, anni di nascita e dettagli sull’ascendenza di milioni di utenti.
I dati compromessi sono stati ottenuti attraverso un accesso non autorizzato agli account individuali di 23andMe, ha dichiarato l’azienda in un comunicato riportato da Ars Technica. I risultati preliminari suggeriscono che le credenziali di accesso utilizzate per accedere agli account “potrebbero essere state raccolte da un attore di minacce da dati trapelati durante incidenti che hanno coinvolto altre piattaforme online in cui gli utenti hanno riciclato le credenziali di accesso”, ha dichiarato 23andMe.
La tecnica, nota come credential stuffing, prevede l’utilizzo di nomi utente e password esposti in precedenti violazioni per accedere ad altri account online.
In seguito alla segnalazione che qualcuno ha avuto accesso e sta vendendo alcuni dati dei clienti di 23andMe, abbiamo condotto un’indagine. Non abbiamo identificato alcun accesso non autorizzato ai nostri sistemi. Continueremo a monitorare la situazione.
– 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe ha dichiarato in un post sul blog di non avere alcuna prova di un’effettiva violazione dei suoi sistemi. “Al momento non abbiamo alcuna indicazione che ci sia stato un incidente di sicurezza dei dati all’interno dei nostri sistemi”, ha scritto l’azienda.
Secondo Wired, la violazione ha preso di mira in particolare gli utenti di origine ebraica ashkenazita. Gli hacker hanno pubblicato un primo campione di dati sulla piattaforma BreachForums all’inizio di questa settimana, sostenendo che conteneva 1 milione di punti di dati riguardanti esclusivamente gli ebrei ashkenaziti.
I dati sono stati ottenuti scrostando le informazioni dei profili dei parenti collegati tramite la funzione “DNA Relatives” di 23andMe, che consente ai clienti di connettersi con le corrispondenze genetiche sulla piattaforma. Accedendo agli account compromessi, l’hacker ha potuto accumulare i profili degli utenti collegati che avevano scelto di condividere le loro informazioni.
“Riteniamo che l’autore della minaccia possa aver effettuato, in violazione dei nostri termini di servizio, l’accesso agli account di 23andme.com senza autorizzazione e aver ottenuto informazioni da tali account”, ha spiegato 23andMe nel suo blog post.
Sui forum di hacking la scorsa settimana, un utente sconosciuto ha pubblicizzato la vendita dei dati degli utenti di 23andMe, affermando di aver ottenuto informazioni su oltre 7 milioni di clienti. I dati trapelati includevano “nomi completi, nomi utente, foto del profilo, sesso, data di nascita, risultati dell’ascendenza genetica e posizione geografica”, secondo BleepingComputer.
Un altro utente del forum avrebbe offerto l’accesso ai profili di 23andMe in blocco, con prezzi che vanno da 1 a 10 dollari per account.
23andMe non ha rivelato dettagli sul numero di utenti colpiti o sull’entità della fuga di dati. Secondo Ars Technica, un database conteneva 1 milione di clienti di origine ebraica Ashkenazi, mentre un secondo conteneva 300.000 profili di utenti di origine cinese.
Gli esperti di sicurezza hanno ripetutamente citato i rischi legati alla compromissione dei dati genetici. “Il vostro DNA è la cosa più preziosa che possedete”, ha avvertito il National Counterintelligence and Security Center degli Stati Uniti nel febbraio 2021. “Contiene i dettagli più intimi del vostro passato, presente e potenziale futuro – se siete inclini alla dipendenza o ad alto rischio di cancro”.
“Perdere il DNA non è come perdere una carta di credito”, continua il centro. “Si può ordinare una nuova carta di credito, ma non si può sostituire il proprio DNA. La perdita del DNA non riguarda solo voi, ma anche i vostri parenti e, potenzialmente, le generazioni a venire. “
23andMe ha dichiarato di aver segnalato la violazione alle forze dell’ordine e ha incoraggiato i clienti a reimpostare le password e ad attivare l’autenticazione a due fattori.
“Monitoriamo e controlliamo attivamente e di routine i nostri sistemi per garantire la protezione dei vostri dati”, ha dichiarato 23andMe. “Quando riceviamo informazioni attraverso questi processi o da altre fonti che affermano che i dati dei clienti sono stati accessibili da persone non autorizzate, indaghiamo immediatamente per verificare se queste informazioni sono accurate”.
L’azienda di test genetici, che offre informazioni sull’ascendenza e sui rischi per la salute basate sull’analisi del DNA, ha raccolto dati genetici su oltre 14 milioni di clienti dalla sua fondazione nel 2006.
23andMe ha dichiarato che i dati trapelati non contengono dettagli genomici. Ma i sostenitori della privacy hanno da tempo sollevato preoccupazioni circa la sensibilità dei risultati delle analisi del DNA e dei dati etnici che potrebbero essere compromessi in una violazione.
La violazione di 23andMe si inserisce in un’ondata di grandi attacchi informatici che espongono informazioni sensibili degli utenti. Secondo la società di privacy digitale Surfshark, l’anno scorso sono stati violati in totale 10,9 milioni di account, con una perdita di 10 account al secondo.
