A empresa de testes genéticos 23andMe está a investigar uma violação de dados que expôs informações de clientes, incluindo fotos de perfil, anos de nascimento e detalhes de ancestralidade de milhões de seus utilizadores.
Os dados comprometidos foram obtidos por meio de acesso não autorizado a contas individuais da 23andMe, disse a empresa em um comunicado relatado pela Ars Technica. Os resultados preliminares sugerem que as credenciais de login utilizadas para aceder às contas “podem ter sido recolhidas por um agente de ameaças a partir de dados divulgados durante incidentes que envolveram outras plataformas online onde os utilizadores reciclaram as credenciais de login”, afirmou a 23andMe.
A técnica, conhecida como credential stuffing, envolve a utilização de nomes de utilizador e palavras-passe expostos em violações anteriores para entrar noutras contas online.
Na sequência de uma alegação de que alguém tinha obtido acesso e estava a vender determinados dados de clientes da 23andMe, realizámos uma investigação. Não identificámos qualquer acesso não autorizado aos nossos sistemas. Continuaremos a monitorizar a situação.
– 23andMeSupport (@23andMeSupport) 4 de outubro de 2023
A
23andMe afirmou num blogue que não tem provas de uma violação efectiva dos seus sistemas. “Não temos qualquer indicação, neste momento, de que tenha havido um incidente de segurança de dados nos nossos sistemas”, escreveu a empresa.
Segundo a Wired, a violação visava especificamente os utilizadores de origem judaica Ashkenazi. Os piratas informáticos publicaram uma amostra inicial de dados na plataforma BreachForums no início desta semana, alegando que continha 1 milhão de pontos de dados exclusivamente sobre os judeus Ashkenazi.
Os dados foram obtidos através da recolha de informações sobre o perfil de familiares ligados através da funcionalidade “DNA Relatives” da 23andMe, que permite aos clientes ligarem-se a pares genéticos na plataforma. Ao aceder a contas comprometidas, o hacker conseguiu reunir perfis de utilizadores relacionados que tinham optado por partilhar as suas informações.
“Acreditamos que o autor da ameaça pode ter, em violação dos nossos termos de serviço, acedido a contas 23andme.com sem autorização e obtido informações dessas contas”, explicou a 23andMe no seu blogue.
Nos fóruns de hackers, na semana passada, um utilizador desconhecido anunciou a venda de dados de utilizadores da 23andMe, alegando ter obtido informações sobre mais de 7 milhões de clientes. Os dados vazados incluíam “nomes completos, nomes de usuário, fotos de perfil, sexo, data de nascimento, resultados de ancestralidade genética e localização geográfica”, segundo o BleepingComputer.
Outro utilizador do fórum terá oferecido acesso aos perfis da 23andMe em grandes quantidades, com preços que variavam entre 1 e 10 dólares por conta.
A 23andMe não revelou detalhes sobre o número de utilizadores afectados ou a extensão da fuga de dados. Mas, de acordo com a Ars Technica, uma base de dados continha 1 milhão de clientes de ascendência judaica Ashkenazi, enquanto uma segunda continha 300.000 perfis de utilizadores de ascendência chinesa.
Os especialistas em segurança têm referido repetidamente os riscos de dados genéticos comprometidos. “O seu ADN é a coisa mais valiosa que possui”, alertou o Centro Nacional de Contra-Inteligência e Segurança dos EUA em fevereiro de 2021. “Ele contém os detalhes mais íntimos de seu passado, presente e futuro potencial – se você é propenso ao vício ou tem alto risco de câncer.”
“Perder seu DNA não é como perder um cartão de crédito”, continuou o centro. “Pode pedir um novo cartão de crédito, mas não pode substituir o seu ADN. A perda do seu ADN não o afecta apenas a si, mas também aos seus familiares e, potencialmente, às gerações vindouras. “
A
23andMe disse que comunicou a violação às autoridades policiais e incentivou os clientes a redefinir as senhas e ativar a autenticação de dois fatores.
“Monitorizamos e auditamos os nossos sistemas de forma ativa e rotineira para garantir que os seus dados estão protegidos”, afirmou a 23andMe. “Quando recebemos informações por meio desses processos ou de outras fontes que afirmam que os dados do cliente foram acessados por indivíduos não autorizados, investigamos imediatamente para validar se essas informações são precisas.
A empresa de testes genéticos, que oferece informações sobre ancestralidade e riscos de saúde com base na análise de DNA, acumulou dados genéticos de mais de 14 milhões de clientes desde sua fundação em 2006.
A
23andMe afirmou que a fuga de dados não contém quaisquer detalhes genómicos. Mas os defensores da privacidade há muito que se preocupam com a sensibilidade dos resultados das análises de ADN e com o facto de os dados étnicos serem comprometidos numa violação.
A violação da 23andMe surge no meio de uma vaga de grandes ataques informáticos que expõem informações sensíveis dos utilizadores. No ano passado, foram divulgadas 10,9 milhões de contas no total, com 10 contas a serem divulgadas por segundo, de acordo com a empresa de privacidade digital Surfshark.
