23andMe confirmó que una violación reciente filtró datos pertenecientes a 6,9 millones de usuarios. En una declaración enviada por correo electrónico a El bordeel portavoz de la compañía, Andy Kill, dice que la infracción afectó a alrededor de 5,5 millones de usuarios que tenían habilitado DNA Relatives, una función que relaciona a usuarios con composiciones genéticas similares, mientras que a 1,4 millones de personas adicionales se les accedió a sus perfiles de árbol genealógico.
En una presentación ante la Comisión de Bolsa y Valores (SEC) y actualización de su publicación de blog A última hora del 1 de diciembre, 23andMe dijo que un actor de amenazas que utilizaba un ataque de relleno de credenciales (iniciar sesión con información de cuenta obtenida en otras violaciones de seguridad, generalmente debido a la reutilización de contraseñas) accedió directamente al 0,1 por ciento de las cuentas de usuario, lo que representa alrededor de 14.000 usuarios. Con acceso a esas cuentas, los atacantes utilizaron la función DNA Relatives, que relaciona a las personas con otros miembros con los que pueden compartir ascendencia, para acceder a información adicional de millones de otros perfiles.
“Aún no tenemos ningún indicio de que haya habido algún incidente de seguridad de datos dentro de nuestros sistemas”
Su declaración del viernes señaló que el hacker también accedió a «un número significativo de archivos» a través de la función Familiares pero no incluyo la figura indicado anteriormente.
matar dice El borde«Todavía no tenemos ningún indicio de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas, o de que 23andMe fuera la fuente de las credenciales de cuenta utilizadas en estos ataques». Esta afirmación contradice el hecho de que la información de 6,9 millones de usuarios está ahora en manos de atacantes. La inmensa mayoría de esas personas se ven afectadas porque optaron por una función proporcionada por 23andMe, que no logró evitar la infracción al limitar el acceso a la información o exigir seguridad adicional en la cuenta.
Los primeros signos públicos de problemas aparecieron en octubre cuando 23andMe confirmado La información del usuario estaba a la venta en la web oscura. El sitio de pruebas genéticas Más tarde dijo que estaba investigando. las afirmaciones de un pirata informático de que filtraron 4 millones de perfiles genéticos de personas en Gran Bretaña y «de las personas más ricas que viven en los EE. UU. y Europa occidental».
Los 5,5 millones de perfiles de DNA Relatives filtrados incluían usuarios que no formaron parte del ataque inicial de relleno de credenciales. Los datos revelados incluyen cosas como nombres para mostrar, relaciones previstas con otros, la cantidad de ADN que los usuarios comparten con coincidencias, informes de ascendencia, ubicaciones autoinformadas, ubicaciones de nacimiento de antepasados, apellidos, imágenes de perfil y más.
Los 1,4 millones de usuarios restantes que también participaron en la función DNA Relatives tuvieron acceso a sus perfiles de árbol genealógico. Esta característica también incluye nombres para mostrar, etiquetas de relaciones, año de nacimiento y ubicaciones autoinformadas. No incluye el porcentaje de ADN compartido con familiares potenciales en el sitio ni segmentos de ADN coincidentes.
23yyo dice todavía está en el proceso de notificar a los usuarios afectados por la infracción. También comenzó a advertir a los usuarios que restablezcan sus contraseñas y ahora requiere una verificación de dos pasos para usuarios nuevos y existentes, que anteriormente era opcional.