La empresa de biotecnología 23andMe, conocida por sus kits de pruebas de ADN, confirmó pitidocomputadora que sus datos de usuario circulan en foros de hackers. La compañía dijo que la filtración se produjo mediante un ataque de relleno de credenciales.
Un ataque de relleno de credenciales implica información de usuario que ya ha sido comprometida (nombres de usuario y contraseñas, por ejemplo) de una organización, que un pirata informático obtiene e intenta reutilizar con una segunda organización (en este caso, 23andMe). Debido a la naturaleza del relleno de credenciales, no parece que se tratara de una violación de los sistemas internos de la empresa. Más bien, las cuentas se dividieron en partes. Los autores de este ataque parecen haber obtenido información bastante sensible de las cuentas comprometidas (fotos, nombres completos y ubicación geográfica, entre otros). «Hasta ahora, nuestra investigación ha descubierto que no se han filtrado resultados de pruebas genéticas», dijo un portavoz de 23andMe en un correo electrónico. En un comunicado público oficial, la compañía dijo que luego de tomar conocimiento de una actividad sospechosa, inmediatamente inició una investigación.
La filtración inicial comprendía “1 millón de líneas de datos del pueblo Ashkenazi”, según pitidocomputadora. El 4 de octubre, los datos se ofrecían a la venta al por mayor, en incrementos de 100, 1.000, 10.000 o 100.000 perfiles. La escala del ataque aún se desconoce, pero el alcance de su impacto probablemente haya sido exacerbado por la función ‘Familiares de ADN’ de 23andMe. «Los familiares se identifican comparando su ADN con el ADN de otros miembros de 23andMe que participan en la función DNA Relatives», afirma la compañía. Después de acceder a un número desconocido de perfiles mediante el relleno de credenciales, el actor de amenazas detrás de esta violación aparentemente eliminó los resultados de ‘Familiares de ADN’ para esos perfiles, obteniendo datos mucho más confidenciales. Según la misma página de preguntas frecuentes, «El número de familiares enumerados [..] crece con el tiempo a medida que más personas se unen a 23andMe». Para el año fiscal 2023, la compañía informó que «genotipó» alrededor de 14 millones de clientes.
Desde que 23andMe salió a bolsa en 2021, la compañía se ha enfrentado a un escrutinio adicional por sus prácticas de protección de datos, con razón, ya que trata con datos médicos confidenciales derivados de muestras de saliva, incluidas las predisposiciones a enfermedades como el Alzheimer, la diabetes tipo 2 e incluso el cáncer. En su sitio web, la empresa afirma que «supera» los estándares de protección de datos de su industria.
Actualización, 7 de octubre de 2023, 3:15 p.m. ET: Esta historia se actualizó para corregir una afirmación sobre el tipo de información confidencial que se vio comprometida en la filtración. La compañía dijo que hasta el momento no se han filtrado resultados de pruebas genéticas.