O teste genético a empresa 23andMe confirmou na sexta-feira que os dados de um subconjunto de seus usuários foram comprometidos. A empresa disse que seus sistemas não foram violados e que os invasores coletaram os dados adivinhando as credenciais de login de um grupo de usuários e, em seguida, coletando informações de mais pessoas de um recurso conhecido como DNA Relatives. Os usuários optam por compartilhar suas informações por meio de Parentes de DNA para que outras pessoas vejam.
Os hackers postaram uma amostra de dados inicial na plataforma BreachForums no início desta semana, alegando que continha 1 milhão de pontos de dados exclusivamente sobre judeus Ashkenazi. Também parece haver centenas de milhares de usuários de ascendência chinesa afetados pelo vazamento. Na quarta-feira, o ator começou a vender o que afirma serem perfis 23andMe por entre US$ 1 e US$ 10 por conta, dependendo da escala da compra. Os dados incluem coisas como nome de exibição, sexo, ano de nascimento e alguns detalhes sobre resultados de ancestralidade genética, como se alguém fosse, digamos, de ascendência “amplamente europeia” ou “amplamente árabe”. Também pode incluir algumas informações de ancestralidade geográfica mais específicas. As informações não parecem incluir dados genéticos brutos e reais.
A empresa enfatizou em comunicado que não vê evidências de que seus sistemas tenham sido violados. Também incentivou os usuários a usar senhas fortes e exclusivas e a permitir a autenticação de dois fatores para evitar que invasores comprometessem suas contas individuais usando credenciais de login expostas em outras violações de dados.
“Fomos informados de que certas informações do perfil do cliente 23andMe foram compiladas por meio do acesso a contas individuais do 23andMe.com”, disse a empresa em comunicado. “Acreditamos que o autor da ameaça pode ter, violando nossos termos de serviço, acessado contas 23andme.com sem autorização e obtido informações dessas contas.”
A empresa não deixou claro se validou os dados vazados pelo ator da ameaça, observando que sua investigação está em andamento e que atualmente possui “resultados preliminares”. Um porta-voz da empresa disse à WIRED que as informações vazadas são consistentes com uma situação em que algumas contas de usuários foram expostas e depois aproveitadas para extrair dados visíveis em DNA Relatives. Mas quando pressionado sobre os detalhes sobre se os dados foram validados, o porta-voz disse que a verificação dos dados está pendente e que a empresa não pode atualmente confirmar se as informações vazadas são reais.
Este ponto é significativo tanto para todos cujas informações podem ter sido comprometidas quanto porque os dados postados pelo ator afirmam incluir “celebridades”. As inscrições dos tecnólogos Mark Zuckerberg, Elon Musk e Sergey Brin são todas visíveis nos dados de amostra, incluindo “ID do perfil”, “ID da conta”, nome, sexo, ano de nascimento, localização atual e campos conhecidos como “ydna” e “ não.” Não está claro se os dados dessas entradas são legítimos ou foram inseridos. Por exemplo, Musk e Brin parecem ter o mesmo perfil e IDs de conta no vazamento.
