Días después de que la información personal del usuario apareciera en línea, la empresa de pruebas genéticas 23andMe dijo que exige a todos los usuarios que restablezcan sus contraseñas «por precaución».
El viernes, 23andMe confirmó que los piratas informáticos habían obtenido los datos de algunos usuarios, pero no llegó a calificar el incidente como una violación de datos. La compañía dijo que los piratas informáticos habían accedido a «ciertas cuentas» de usuarios de 23andMe que usaban contraseñas que no eran exclusivas del servicio, una técnica común en la que los piratas informáticos intentan ingresar a las cuentas de las víctimas utilizando contraseñas que ya se han hecho públicas en violaciones de datos anteriores.
El anuncio de 23andMe se produjo dos días después de que los piratas informáticos anunciaran una supuesta muestra de datos de usuarios de 23andMe en el foro de piratería BreachForums, ofreciendo vender perfiles individuales por entre 1 y 10 dólares. La muestra, que ha visto TechCrunch, contenía los supuestos datos de usuario de un millón de usuarios de ascendencia judía asquenazí. Otro usuario de BreachForums afirmó tener los datos de 23andMe de 100.000 usuarios chinos.
Contáctenos
¿Tiene más información sobre el incidente de 23andMe? Nos encantaría saber de usted. Puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico [email protected]. También puede ponerse en contacto con TechCrunch a través de caída segura.
Según 23andMe, los datos fueron «compilados» de usuarios que habían optado por la función DNA Relatives, que permite a los usuarios que eligen activar la función compartir automáticamente sus datos con otros. En teoría, esto permitiría a un hacker obtener los datos de más de una víctima simplemente ingresando a la cuenta de alguien que optó por esta función.
A última hora del lunes, 23andMe publicó una actualización en su sitio web, anunciando que obligaron a todos los usuarios a cambiar sus contraseñas y diciendo que están «fomentando el uso de la autenticación multifactor».
Un usuario de 23andMe, que pidió permanecer en el anonimato para proteger su privacidad, compartió el correo electrónico que recibió de la empresa, donde 23andMe escribió que la empresa “no tiene ningún indicio en este momento de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas. o que 23andMe fue la fuente de las credenciales de cuenta utilizadas en estos ataques”.
El usuario le dijo a TechCrunch que era un probador beta de 23andMe desde 2012 y que había visto crecer su base de datos y sus conexiones, «encontrando más primos e incluso hermanos ocultos de los padres». Y aunque 23andMe es “un producto genial”, dijo el usuario, la empresa “sabe mucho” y este es un incidente “triste”.
No está claro si, al momento de escribir este artículo, todos los usuarios han recibido un correo electrónico solicitándoles que restablezcan sus contraseñas.
Otro usuario de 23andMe le dijo a TechCrunch que aún no ha recibido un correo electrónico para restablecer la contraseña. En cambio, dijeron que cuando intentaron iniciar sesión, vieron un nuevo mensaje: “23andMe está restableciendo todas las contraseñas para mejorar la seguridad de las contraseñas. Elija una nueva contraseña que sea exclusiva de 23andMe”.
«No pude iniciar sesión, así que hice clic en ‘Olvidé mi contraseña’ para actualizar y volver a iniciar sesión en mi cuenta», dijo el usuario, que también pidió permanecer en el anonimato para proteger su privacidad.
El usuario compartió una captura de pantalla de la página de inicio de sesión que vio:
23andMe no respondió a una serie de preguntas, incluido si verificó que los datos filtrados son legítimos, si revocó los tokens de sesión de todos los usuarios (lo que significa que 23andMe desconectó a los usuarios en todos los dispositivos en los que iniciaron sesión) y si la empresa cambió. su política de contraseñas. En cambio, el portavoz de la compañía, Andy Kill, nos señaló la publicación del blog y dijo que seguirán actualizándola.
Dado que los datos supuestamente pirateados salieron a la luz el miércoles y 23andMe solo pidió a los usuarios que restablecieran las contraseñas cinco días después, un experto en ciberseguridad dijo que la compañía podría haber respondido más rápido al incidente.
«Me gustaría ver que las organizaciones apoyen proactivamente a sus usuarios para evitar el riesgo de relleno de credenciales, y en el caso de 23andMe, la reacción para forzar el restablecimiento de contraseñas podría haber ocurrido mucho antes, tan pronto como se conoció el ataque de relleno de credenciales», dijo Rachel Tobac. dijo a TechCrunch un hacker y director ejecutivo de SocialProof Security. «Con el tiempo, me gustaría que las organizaciones se centraran en acciones proactivas en lugar de reactivas para reducir este riesgo, y las respuestas reactivas deben ocurrir rápidamente».