Mais detalhes estão surgindo sobre uma violação de dados que a empresa de testes genéticos 23andMe relatou pela primeira vez em outubro. Mas à medida que a empresa partilha mais informações, a situação torna-se ainda mais obscura e cria maior incerteza para os utilizadores que tentam compreender as consequências.
A 23andMe disse no início de outubro que os invasores se infiltraram em algumas das contas de seus usuários e aproveitaram esse acesso para extrair dados pessoais de um subconjunto maior de usuários por meio do serviço de compartilhamento social opcional da empresa, conhecido como DNA Relatives. Na época, a empresa não indicou quantos usuários foram afetados, mas os hackers já haviam começado a vender dados em fóruns criminosos que pareciam ter sido retirados de pelo menos um milhão de usuários do 23andMe, se não mais. Em uma Comissão de Valores Mobiliários dos EUA arquivamento na sexta-feiraa empresa disse que “o autor da ameaça conseguiu acessar uma porcentagem muito pequena (0,1%) de contas de usuários”, ou cerca de 14.000, dado o perfil da empresa. estimativa recente que tem mais de 14 milhões de clientes.
Quatorze mil já é muita gente, mas o número não leva em conta os usuários afetados pela coleta de dados do DNA Relatives pelo invasor. O documento da SEC simplesmente observou que o incidente também envolveu “um número significativo de arquivos contendo informações de perfil sobre a ascendência de outros usuários”.
Na segunda-feira, 23andMe confirmado ao TechCrunch que os invasores coletaram dados pessoais de cerca de 5,5 milhões de pessoas que optaram pelo DNA Relatives, bem como informações de mais 1,4 milhão de usuários do DNA Relatives que “tiveram acesso às informações do perfil da árvore genealógica”. COM FIO também.
Do grupo de 5,5 milhões de pessoas, os hackers roubaram nomes de exibição, login mais recente, rótulos de relacionamento, relacionamentos previstos e porcentagem de DNA compartilhado com correspondências de DNA Relatives. Em alguns casos, este grupo também teve outros dados comprometidos, incluindo relatórios de ascendência e detalhes sobre onde em seus cromossomos eles e seus parentes tinham DNA correspondente, locais auto-relatados, locais de nascimento dos ancestrais, nomes de família, fotos de perfil, anos de nascimento, links para árvores genealógicas criadas por você mesmo e outras informações de perfil. O subconjunto menor (mas ainda enorme) de 1,4 milhão de usuários impactados do DNA Relatives teve especificamente nomes de exibição e rótulos de relacionamento roubados e, em alguns casos, também teve anos de nascimento e dados de localização auto-relatados afetados.
Questionada sobre por que essas informações expandidas não estavam no arquivo da SEC, a porta-voz da 23andMe, Katie Watson, disse à WIRED que “estamos apenas elaborando as informações incluídas no arquivo da SEC, fornecendo números mais específicos”.