El viernes, la empresa de pruebas genéticas 23andMe anunció que los piratas informáticos accedieron a los datos personales del 0,1% de los clientes, o alrededor de 14.000 personas. La compañía también dijo que al acceder a esas cuentas, los piratas informáticos también pudieron acceder a «una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios». Pero 23andMe no dijo cuántos “otros usuarios” se vieron afectados por la infracción que la compañía reveló inicialmente a principios de octubre.
Resulta que hubo muchos «otros usuarios» que fueron víctimas de esta violación de datos: 6,9 millones de personas afectadas en total.
En un correo electrónico enviado a TechCrunch a última hora del sábado, la portavoz de 23andMe, Katie Watson, confirmó que los piratas informáticos accedieron a la información personal de alrededor de 5,5 millones de personas que optaron por la función DNA Relatives de 23andMe, que permite a los clientes compartir automáticamente algunos de sus datos con otros. Los datos robados incluían el nombre de la persona, el año de nacimiento, las etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y la ubicación autoinformada.
23andMe también confirmó que a otro grupo de aproximadamente 1,4 millones de personas que optaron por DNA Relatives también “se accedió a la información de su perfil de Family Tree”, que incluye nombres para mostrar, etiquetas de relaciones, año de nacimiento, ubicación autoinformada y si el usuario decidió compartir su información, dijo el portavoz. (23andMe declaró parte de su correo electrónico como «en segundo plano», lo que requiere que ambas partes acepten los términos por adelantado. TechCrunch está imprimiendo la respuesta ya que no tuvimos oportunidad de rechazar los términos).
Tampoco se sabe por qué 23andMe no compartió estos números en su divulgación del viernes.
Teniendo en cuenta las nuevas cifras, en realidad, se sabe que la violación de datos afecta aproximadamente a la mitad del total de 14 millones de clientes reportados por 23andMe.
A principios de octubre, un pirata informático afirmó haber robado la información del ADN de los usuarios de 23andMe en una publicación en un conocido foro de piratería. Como prueba de la violación, el hacker publicó los supuestos datos de un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos, pidiendo a los posibles compradores entre 1 y 10 dólares por los datos por cuenta individual. Dos semanas después, el mismo hacker anunció los supuestos registros de otros cuatro millones de personas en el mismo foro de piratería.
TechCrunch descubrió que otro hacker en un foro de piratería independiente ya había anunciado un lote de datos de clientes de 23andMe supuestamente robados dos meses antes del anuncio ampliamente difundido.
Contáctenos
¿Tiene más información sobre el incidente de 23andMe? Nos encantaría saber de usted. Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
Cuando analizamos los datos filtrados hace meses, TechCrunch descubrió que algunos registros coincidían con los datos genéticos publicados en línea por aficionados y genealogistas. Los dos conjuntos de información tenían un formato diferente, pero contenían algunos de los mismos datos genéricos y de usuario únicos, lo que sugiere que los datos filtrados por el pirata informático eran, al menos en parte, datos auténticos de clientes de 23andMe.
Al revelar el incidente en octubre, 23andMe dijo que la violación de datos fue causada por la reutilización de contraseñas por parte de los clientes, lo que permitió a los piratas informáticos forzar las cuentas de las víctimas mediante el uso de contraseñas conocidas públicamente y publicadas en violaciones de datos de otras compañías.
Debido a la forma en que la función DNA Relatives relaciona a los usuarios con sus familiares, al piratear una cuenta individual, los piratas informáticos pudieron ver los datos personales tanto del titular de la cuenta como de sus familiares, lo que aumentó el número total de víctimas de 23andMe. .
Lea más en TechCrunch: