Están surgiendo más detalles sobre una violación de datos que la empresa de pruebas genéticas 23andMe informó por primera vez en octubre. Pero a medida que la empresa comparte más información, la situación se vuelve aún más turbia y crea mayor incertidumbre para los usuarios que intentan comprender las consecuencias.
23andMe dijo a principios de octubre que los atacantes se habían infiltrado en algunas de las cuentas de sus usuarios y aprovecharon este acceso para extraer datos personales de un subconjunto más grande de usuarios a través del servicio de intercambio social de la compañía conocido como DNA Relatives. En ese momento, la compañía no indicó cuántos usuarios se habían visto afectados, pero los piratas informáticos ya habían comenzado a vender datos en foros criminales que parecían haber sido tomados de al menos un millón de usuarios de 23andMe, si no más. En una presentación ante la Comisión de Bolsa y Valores de EE. UU. el viernes, la compañía dijo que «el actor de la amenaza pudo acceder a un porcentaje muy pequeño (0,1%) de las cuentas de usuario», o aproximadamente 14.000, dada la estimación reciente de la compañía de que tiene más de 14. millones de clientes.
Catorce mil es mucha gente en sí misma, pero el número no incluye a los usuarios afectados por la extracción de datos de DNA Relatives por parte del atacante. La presentación ante la SEC simplemente señaló que el incidente también involucró «una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios».
El lunes, 23andMe confirmó a TechCrunch que los atacantes recopilaron datos personales de aproximadamente 5,5 millones de personas que habían optado por DNA Relatives, así como información de 1,4 millones adicionales de usuarios de DNA Relatives a quienes «se accedió a la información de su perfil de Family Tree». Posteriormente, 23andMe también compartió esta información ampliada con WIRED.
Del grupo de 5,5 millones de personas, los piratas informáticos robaron nombres para mostrar, inicios de sesión más recientes, etiquetas de relaciones, relaciones previstas y porcentaje de ADN compartido con coincidencias de parientes de ADN. En algunos casos, este grupo también tuvo otros datos comprometidos, incluidos informes de ascendencia y detalles sobre en qué parte de sus cromosomas ellos y sus familiares tenían ADN coincidente, ubicaciones autoinformadas, lugares de nacimiento de los antepasados, apellidos, fotografías de perfil, años de nacimiento, enlaces a árboles genealógicos creados por usted mismo y otra información de perfil. Al subconjunto más pequeño (pero aún masivo) de 1,4 millones de usuarios de DNA Relatives afectados específicamente se les robaron nombres para mostrar y etiquetas de relaciones y, en algunos casos, también se vieron afectados los años de nacimiento y los datos de ubicación autoinformados.
Cuando se le preguntó por qué esta información ampliada no estaba en la presentación de la SEC, la portavoz de 23andMe, Katie Watson, le dijo a WIRED que «solo estamos ampliando la información incluida en la presentación de la SEC proporcionando números más específicos».