Ahora se ha confirmado que a 6,9 millones de usuarios adicionales de 23andMe se les robaron datos de ascendencia después de que los piratas informáticos accedieran a miles de cuentas probablemente reutilizando contraseñas previamente filtradas.
23andMe reveló anteriormente en una presentación ante la Comisión de Bolsa y Valores que el 0,1 por ciento de los usuarios (aproximadamente 14.000, estimó TechCrunch) tenían cuentas a las que accedían piratas informáticos que utilizaban contraseñas comprometidas.
Después de que se informara del ciberataque, Wired estimó que «al menos un millón de puntos de datos de cuentas de 23andMe» que eran «exclusivamente sobre judíos asquenazíes» y puntos de datos de «cientos de miles de usuarios de ascendencia china» parecían estar expuestos. Pero más allá de esas estimaciones, durante dos meses, todo lo que el público supo fue que la presentación de 23andMe señalaba que también se accedía a «un número significativo de archivos que contienen información de perfil sobre la ascendencia de otros usuarios».
TechCrunch presionó a 23andMe para verificar exactamente cuántos «otros usuarios» se vieron afectados, lo que llevó a un portavoz a confirmar que a dos grupos de usuarios que optaron por la función DNA Relatives les robaron sus datos personales.
23andMe describe la función DNA Relatives como «una de las funciones más interactivas» que se ofrecen en el sitio, «que le permite encontrar y conectarse con parientes genéticos y aprender más sobre su familia». Al optar por participar, los usuarios esperan encontrar a familiares perdidos al brindar voluntariamente a otros acceso a información como su año de nacimiento, ubicación actual y nombres y lugares de nacimiento de sus antepasados. Los usuarios pueden optar por no participar en cualquier momento, pero si lo hacen, será más difícil detectar parientes «en cualquier rama de su árbol genealógico», dice el sitio web.
El grupo más grande, que abarca alrededor de 5,5 millones de usuarios, fue pirateado después de optar por compartir automáticamente información con DNA Relatives, incluido su «nombre, año de nacimiento, etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y ubicación autoinformada». «, informó TechCrunch. El grupo más pequeño, alrededor de 1,4 millones de usuarios, compartió «información del perfil del árbol genealógico» que fue pirateada, incluidos nombres para mostrar, etiquetas de relaciones, año de nacimiento y ubicación autoinformada, informó TechCrunch.
Cuando se le pidió un comentario, un portavoz de 23andMe vinculó a Ars con un blog y señaló que todos los usuarios afectados están siendo notificados actualmente. La compañía no ha aclarado por qué no reveló estas cifras exactas al anunciar el ciberataque. Según TechCrunch, estas nuevas cifras sugieren que casi la mitad de los 14 millones de usuarios de 23andMe fueron pirateados.
Cuando se informó por primera vez del hackeo, una organización sin fines de lucro dedicada a defender la privacidad en línea, la Electronic Frontier Foundation (EFF), informó que «no existen leyes federales que protejan claramente a los usuarios de sitios de pruebas genéticas en línea como 23andMe». Si bien 23andMe recomendó que todos los usuarios fortalecieran sus contraseñas, EFF fue un paso más allá y sugirió que los usuarios consideren deshabilitar la función DNA Relatives, especialmente si no la están usando activamente. EFF también proporcionó un tutorial para los usuarios que se preparan para descargar sus datos de 23andMe y eliminar sus cuentas.
Para atraer a los usuarios a quedarse, 23andMe también ha trabajado para mejorar la seguridad de la cuenta desde la violación, según su blog.
«Hemos tomado medidas para proteger aún más los datos de los clientes, incluido el requisito de que todos los clientes existentes restablezcan su contraseña y la verificación en dos pasos para todos los clientes nuevos y existentes», decía el blog. «La empresa seguirá invirtiendo en la protección de nuestros sistemas y datos».
23andMe dice que su investigación ha concluido, pero parece que sus problemas apenas han comenzado. El popular sitio de pruebas de ADN le dijo a la SEC que espera gastar entre 1 y 2 millones de dólares en respuesta al incidente hasta el final del año fiscal. 23andMe también informó que se está defendiendo de múltiples demandas colectivas presentadas en tribunales federales y estatales de EE. UU., así como en tribunales de Columbia Británica y Ontario, Canadá. Los consumidores de California también han presentado quejas en virtud de la Ley de Privacidad del Consumidor de California y varios funcionarios y agencias gubernamentales han realizado consultas.
«El alcance total de los costos y los impactos relacionados de este incidente y el litigio relacionado, incluyendo, entre otros, la disponibilidad de seguros para compensar algunos de estos costos, no se puede estimar en este momento», dice la presentación ante la SEC.