En una carta de notificación de violación de datos presentada ante los reguladores este fin de semana, 23andMe reveló que los piratas informáticos comenzaron a irrumpir en las cuentas de los clientes en abril de 2023 y continuaron durante la mayor parte de septiembre.
En otras palabras, durante aproximadamente cinco meses, 23andMe no detectó una serie de ataques cibernéticos en los que los piratas informáticos intentaban (y a menudo tenían éxito) acceder por fuerza bruta a las cuentas de los clientes, según un documento legalmente requerido que 23andMe envió al fiscal general de California.
Meses después de que los piratas informáticos comenzaran a atacar a los clientes de 23andMe, la compañía reveló que los piratas informáticos habían robado los datos genéticos y de ascendencia de 6,9 millones de usuarios, o aproximadamente la mitad de sus clientes.
Según la compañía, 23andMe se dio cuenta de la violación en octubre cuando los piratas informáticos anunciaron los datos robados en publicaciones publicadas en el subreddit no oficial de 23andMe y por separado en un famoso foro de piratería. 23andMe tampoco se dio cuenta de que los piratas informáticos anunciaron los datos robados en otro foro de piratería meses antes, en agosto, como informó TechCrunch.
Contáctenos
¿Tienes más información sobre este truco? Nos encantaría saber de usted. Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Como admitió más tarde 23andMe, los piratas informáticos pudieron acceder a las cuentas de alrededor de 14.000 clientes mediante fuerza bruta en cuentas que utilizaban contraseñas ya hechas públicas y asociadas con direcciones de correo electrónico de otras infracciones. Con acceso a esas cuentas, los piratas informáticos robaron datos de 6,9 millones de clientes a través de la función DNA Relatives, que permite a los clientes compartir automáticamente algunos de sus datos con otras personas que 23andMe clasifica como familiares. Los datos robados incluían el nombre de la persona, el año de nacimiento, las etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y la ubicación autoinformada.
Los portavoces de 23andMe no respondieron de inmediato a la solicitud de comentarios de TechCrunch, que incluía preguntas sobre cómo la violación pasó desapercibida durante tanto tiempo.
Después de que se notificó a los clientes que eran víctimas de la infracción, varias víctimas presentaron demandas colectivas contra 23andMe en los EE. UU. y Canadá, a pesar de que la compañía intentó dificultar que las víctimas se unieran en acciones legales cambiando sus términos de servicio. . Los abogados de violación de datos calificaron los cambios en los términos de servicio como “cínicos”, “interesados” y “un intento desesperado” de proteger a 23andMe contra sus propios clientes.
En una de las demandas, 23andMe respondió culpando a los usuarios por supuestamente utilizar contraseñas reutilizadas.
«Los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe», afirmó 23andMe en una carta dirigida a las víctimas de la violación. «El incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe».