Al enfrentarse a más de 30 demandas de víctimas de su violación masiva de datos, 23andMe ahora está desviando la culpa a las propias víctimas en un intento de eximirse de cualquier responsabilidad, según una carta enviada a un grupo de víctimas vista por TechCrunch.
«En lugar de reconocer su papel en este desastre de seguridad de datos, 23andMe aparentemente ha decidido dejar a sus clientes abandonados mientras minimiza la gravedad de estos eventos», dijo Hassan Zavareei, uno de los abogados que representa a las víctimas que recibió la carta de 23andMe. TechCrunch en un correo electrónico.
En diciembre, 23andMe admitió que los piratas informáticos habían robado los datos genéticos y de ascendencia de 6,9 millones de usuarios, casi la mitad de todos sus clientes.
La filtración de datos comenzó cuando los piratas informáticos accedieron sólo a unas 14.000 cuentas de usuarios. Los piratas informáticos irrumpieron en este primer grupo de víctimas mediante la fuerza bruta de cuentas con contraseñas que se sabía que estaban asociadas con los clientes objetivo, una técnica conocida como relleno de credenciales.
Sin embargo, de estas 14.000 víctimas iniciales, los piratas informáticos pudieron acceder a los datos personales de los otros 6,9 millones de víctimas porque habían optado por la función DNA Relatives de 23andMe. Esta característica opcional permite a los clientes compartir automáticamente algunos de sus datos con personas que se consideran sus familiares en la plataforma.
En otras palabras, al piratear sólo las cuentas de 14.000 clientes, los piratas informáticos posteriormente extrajeron datos personales de otros 6,9 millones de clientes cuyas cuentas no fueron pirateadas directamente.
Pero en una carta enviada a un grupo de cientos de usuarios de 23andMe que ahora están demandando a la empresa, 23andMe dijo que «los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe».
«Por lo tanto, el incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe», se lee en la carta.
Zavareei dijo que 23andMe culpa “descaradamente” a las víctimas de la violación de datos.
“Este señalamiento con el dedo no tiene sentido. 23andMe sabía o debería haber sabido que muchos consumidores usan contraseñas recicladas y, por lo tanto, 23andMe debería haber implementado algunas de las muchas salvaguardas disponibles para protegerse contra el relleno de credenciales, especialmente considerando que 23andMe almacena información de identificación personal, información de salud e información genética en su plataforma. ”, dijo Zavareei en un correo electrónico.
“La violación afectó a millones de consumidores cuyos datos quedaron expuestos a través de la función DNA Relatives en la plataforma de 23andMe, no porque usaran contraseñas recicladas. De esos millones, sólo unos pocos miles de cuentas se vieron comprometidas debido al relleno de credenciales. El intento de 23andMe de eludir la responsabilidad culpando a sus clientes no hace nada por estos millones de consumidores cuyos datos se vieron comprometidos sin que sea culpa suya”, dijo Zavareei.
Contáctenos
¿Tiene más información sobre el incidente de 23andMe? Nos encantaría saber de usted. Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
En respuesta a la carta de 23andMe, Dante Termohs, un cliente de 23andMe que se vio afectado por la violación de datos, dijo a TechCrunch que encontraba «espantoso que 23andMe esté intentando esconderse de las consecuencias en lugar de ayudar a sus clientes».
Los abogados de 23andMe argumentaron que los datos robados no pueden utilizarse para infligir daños monetarios a las víctimas.
“La información a la que potencialmente se accedió no puede utilizarse para causar ningún daño. Como se explica en la publicación del blog del 6 de octubre de 2023, la información del perfil a la que se pudo haber accedido estaba relacionada con la función DNA Relatives, que un cliente crea y elige compartir con otros usuarios en la plataforma 23andMe. Dicha información solo estaría disponible si los demandantes eligieran afirmativamente compartir esta información con otros usuarios a través de la función Familiares de ADN. Además, la información que el actor no autorizado potencialmente obtuvo sobre los demandantes no podría haber sido utilizada para causar daño pecuniario (no incluía su número de seguro social, número de licencia de conducir ni ninguna información financiera o de pago)”, decía la carta.
23andMe y uno de sus abogados no respondieron a la solicitud de comentarios de TechCrunch.
Después de revelar la infracción, 23andMe restableció todas las contraseñas de los clientes y luego exigió a todos los clientes que utilizaran la autenticación multifactor, que solo era opcional antes de la infracción.
En un intento por prevenir las inevitables demandas colectivas y los reclamos de arbitraje masivo, 23andMe cambió sus términos de servicio para que sea más difícil para las víctimas unirse al presentar un reclamo legal contra la empresa. Abogados con experiencia en representación de víctimas de violaciones de datos dijeron a TechCrunch que los cambios eran «cínicos», «interesados» y «un intento desesperado» de protegerse y disuadir a los clientes de perseguir a la empresa.
Claramente, los cambios no detuvieron lo que ahora es una avalancha de demandas colectivas.