Una presentación ante la SEC ha revelado más detalles sobre una violación de datos que afecta a los usuarios de 23andMe y que se reveló a principios de este otoño. La compañía dice que su investigación encontró que los piratas informáticos pudieron acceder a las cuentas de aproximadamente el 0,1 por ciento de su base de usuarios, o alrededor de 14.000 de sus 14 millones de clientes totales. TechCrunch notas. Además de eso, los atacantes pudieron explotar la función DNA Relatives (DNAR) de 23andMe, que relaciona a los usuarios con sus parientes genéticos, para acceder a información sobre millones de otros usuarios. Un portavoz de 23andMe dijo a Engadget que los piratas informáticos accedieron a los perfiles DNAR de aproximadamente 5,5 millones de clientes de esta manera, además de la información del perfil de Family Tree de 1,4 millones de participantes de DNA Relative.
Los perfiles DNAR contienen detalles confidenciales que incluyen información autoinformada, como nombres para mostrar y ubicaciones, así como porcentajes de ADN compartidos para coincidencias de parientes de ADN, apellidos, relaciones previstas e informes de ascendencia. Los perfiles de Family Tree contienen nombres para mostrar y etiquetas de relaciones, además de otra información que un usuario puede optar por agregar, incluido el año de nacimiento y la ubicación. Cuando la violación se reveló por primera vez en octubre, la compañía dijo que su investigación «encontró que no se habían filtrado resultados de pruebas genéticas».
Según la nueva presentación, los datos «generalmente incluían información de ascendencia y, para un subconjunto de esas cuentas, información relacionada con la salud basada en la genética del usuario». Todo esto se obtuvo a través de un ataque de relleno de credenciales, en el que los piratas informáticos utilizaron información de inicio de sesión de otros sitios web previamente comprometidos para acceder a las cuentas de esos usuarios en otros sitios. Al hacer esto, dice el documento, «el actor de amenazas también accedió a una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios que dichos usuarios eligieron compartir al optar por la función DNA Relatives de 23andMe y publicaron cierta información en línea».
Tras el descubrimiento de la infracción, 23andMe ordenó a los usuarios afectados que cambiaran sus contraseñas y luego implementó la autenticación de dos factores para todos sus clientes. En otra actualización del viernes, 23andMe dijo que había completado la investigación y estaba notificando a todos los afectados. La compañía también escribió en el documento que «cree que la actividad del actor de amenazas está contenida» y está trabajando para eliminar la información publicada públicamente.
Actualización, 2 de diciembre de 2023, 7:03 p.m. ET: esta historia se actualizó para incluir información proporcionada por un portavoz de 23andMe sobre el alcance de la infracción y la cantidad de participantes de DNA Relative afectados.