Crédito da Imagem: David Paul Morris / Bloomberg / Getty Images
A empresa de testes genéticos 23andMe anunciou na sexta-feira passada que hackers acessaram cerca de 14.000 contas de clientes no recente vazamento de dados da empresa.
Em um novo comunicado enviado à Comissão de Títulos e Câmbio dos Estados Unidos, publicado na sexta-feira, a empresa afirmou que, com base em sua investigação sobre o incidente, havia determinado que os hackers acessaram 0,1% de sua base de clientes. De acordo com o relatório de ganhos anual mais recente da empresa, a 23andMe possui “mais de 14 milhões de clientes em todo o mundo”, o que significa que 0,1% representa cerca de 14.000 clientes.
No entanto, a empresa também afirmou que, ao acessar essas contas, os hackers também conseguiram acessar “um número significativo de arquivos contendo informações de perfil sobre a ancestralidade de outros usuários que optaram por compartilhar ao aderir ao recurso de Parentes de DNA da 23andMe”.
A empresa não especificou qual é esse “número significativo” de arquivos, nem quantos desses “outros usuários” foram impactados.
A 23andMe não respondeu imediatamente a um pedido de comentário, que incluiu perguntas sobre esses números.
Em outubro, a 23andMe revelou um incidente em que hackers roubaram dados de alguns usuários usando uma técnica comum conhecida como “preenchimento de credenciais”, em que criminosos cibernéticos invadem a conta de uma vítima usando uma senha conhecida, possivelmente vazada devido a um vazamento de dados em outro serviço.
O dano, no entanto, não se limitou aos clientes que tiveram suas contas acessadas. A 23andMe permite que os usuários adiram a um recurso chamado Parentes de DNA. Se um usuário adere a esse recurso, a 23andMe compartilha algumas informações desse usuário com outros. Isso significa que, ao acessar a conta de uma vítima, os hackers também puderam ver os dados pessoais de pessoas conectadas a essa vítima inicial.
A 23andMe afirmou no comunicado que, para os 14.000 usuários iniciais, os dados roubados “geralmente incluíam informações genealógicas e, para um subconjunto dessas contas, informações relacionadas à saúde com base na genética do usuário”. Para o outro subconjunto de usuários, a 23andMe apenas afirmou que os hackers roubaram “informações de perfil” e depois postaram “certas informações” na internet.
O TechCrunch analisou os conjuntos de dados roubados comparando-os com registros genealógicos públicos conhecidos, incluindo sites publicados por entusiastas e genealogistas. Embora os conjuntos de dados tivessem formatos diferentes, continham algumas das mesmas informações genéticas e de usuários únicos que correspondiam a registros genealógicos publicados online anos antes.
O proprietário de um site genealógico, cujas informações de alguns parentes foram expostas no vazamento de dados da 23andMe, disse ao TechCrunch que tem cerca de 5.000 parentes descobertos por meio da 23andMe e afirmou que nossas “correlações podem levar isso em consideração”.
A notícia do vazamento de dados surgiu online em outubro, quando hackers anunciaram os supostos dados de um milhão de usuários de ascendência judaica asquenaze e 100.000 usuários chineses em um conhecido fórum de hacking. Aproximadamente duas semanas depois, o mesmo hacker que anunciou os dados iniciais roubados anunciou os registros supostos de mais quatro milhões de pessoas. O hacker estava tentando vender os dados de vítimas individuais por US$ 1 a US$ 10.
O TechCrunch descobriu que outro hacker em um fórum de hacking diferente anunciou ainda mais dados de usuários supostamente roubados dois meses antes do anúncio que foi inicialmente relatado pela mídia em outubro. Naquele primeiro anúncio, o hacker afirmou ter 300 terabytes de dados roubados da 23andMe e pediu US$ 50 milhões para vender todo o banco de dados, ou entre US$ 1.000 e US$ 10.000 por um subconjunto dos dados.
Em resposta ao vazamento de dados, em 10 de outubro, a 23andMe forçou os usuários a redefinir e alterar suas senhas e os incentivou a ativar a autenticação em duas etapas. Em 6 de novembro, a empresa exigiu que todos os usuários usassem a verificação em duas etapas, de acordo com o novo comunicado.
Após o vazamento da 23andMe, outras empresas de teste genético, Ancestry e MyHeritage, começaram a exigir a autenticação em duas etapas