23andMe confirma que els atacants van robar dades del genotip en brut en una violació massiva fa mesos

En una violació massiva de la seguretat de les dades, 23andMe, un destacat servei de proves genètiques directes al consumidor, ha confirmat que els atacants van robar amb èxit les dades del genotip en brut de milions d'usuaris fa uns mesos. L'empresa ha notificat als usuaris afectats que la informació compromesa inclou dades del genotip, informes de salut i altres detalls sensibles.

L'incompliment, que va durar cinc mesos des de finals d'abril de 2023 fins a setembre de 2023, va ser el resultat d'un atac d'ompliment de credencials en lloc d'una intrusió directa als sistemes de 23andMe. Els atacants van explotar contrasenyes reutilitzades, obtenint accés no autoritzat als comptes d'usuari. Segons la notificació d'incompliment enviada a les persones afectades, l'actor de l'amenaça va aprofitar el fet que els usuaris utilitzaven les mateixes credencials d'inici de sessió a 23andMe.com que en altres llocs web que havien estat compromesos anteriorment.

La investigació realitzada per 23andMe va revelar que els atacants van poder accedir ininterrompudament a les dades del genotip en brut dels usuaris i a altra informació sensible, inclosos informes de salut, informes de predisposició a la salut, informes de benestar i informes d'estat del transportista. Aquest incompliment suposa un risc important, ja que implica l'exposició de dades genètiques i sanitàries molt personals i privades.

Curiosament, l'octubre de l'any anterior, un actor d'amenaces conegut com Golem va afirmar haver obtingut dades de set milions d'usuaris de 23andMe. Les mostres de dades robades es van compartir al mercat de cibercrim BreachForums, que contenien entrades com ara el nom, el sexe, l'edat, la ubicació i els marcadors d'ascendència, inclosos els haplogrups de llinatge, yDNA i mtDNA que rastregen ascendència paterna i materna. En particular, una filtració suposadament va apuntar a un milió de "celebritats" d'ascendència jueva ashkenazi, mentre que un altre lot comprenia més de quatre milions d'individus, principalment del Regne Unit. Tot i que s'han suprimit les publicacions originals del fòrum, altres membres del fòrum han continuat tornant a publicar les dades.

En resposta a l'incident de seguretat, 23andMe va prendre mesures proactives implementant l'autenticació multifactorial per a tots els usuaris. Aquesta capa addicional de seguretat té com a objectiu millorar la protecció i mitigar el risc d'accés no autoritzat, posant l'accent en la importància de salvaguardar la informació genètica i sanitària sensible en un paisatge digital cada cop més interconnectat. L'incompliment serveix com a recordatori dels reptes constants als quals s'enfronten les empreses a l'hora de protegir les dades dels usuaris i del paper crític que juguen els usuaris en el manteniment de contrasenyes fortes i úniques a diverses plataformes en línia.