A finales de 2023, la empresa de pruebas genéticas 23andMe admitió que los datos de sus clientes se filtraron en línea. Un representante de la empresa nos dijo en aquel entonces que los malos actores pudieron acceder a la información del perfil de DNA Relatives de aproximadamente 5,5 millones de clientes y a la información del perfil de Family Tree de 1,4 millones de participantes de DNA Relative. Ahora, la compañía ha revelado más detalles sobre el incidente en un documento legal, donde dice que los piratas informáticos comenzaron a ingresar a las cuentas de los clientes a fines de abril de 2023. Las actividades de los malos actores continuaron durante meses y duraron hasta septiembre de 2023 antes de que la compañía finalmente se enteró de la violación de seguridad.
El archivo de 23andMe contiene las cartas que envió a los clientes afectados por el incidente. En las cartas, la compañía explicó que los atacantes utilizaron una técnica llamada relleno de credenciales, que implicaba el uso de credenciales de inicio de sesión previamente comprometidas para acceder a las cuentas de los clientes a través de su sitio web. La compañía no notó nada malo hasta que un usuario publicó una muestra de los datos robados en el subreddit 23andMe en octubre. Como TechCrunch Como señala, los piratas informáticos ya habían anunciado que los datos robados en un foro de piratas informáticos unos meses antes en agosto, pero 23andMe no se enteró de esa publicación. La información robada incluía nombres de clientes, fechas de nacimiento, ascendencia y datos relacionados con la salud.
23andMe recomendó a los usuarios afectados que cambiaran sus contraseñas después de revelar la violación de datos. Pero antes de enviar cartas a los clientes, la empresa cambió el lenguaje de sus términos de servicio, lo que supuestamente hizo más difícil para las personas afectadas por el incidente unir fuerzas y perseguir legalmente a la empresa.