El viernes, la empresa de pruebas genéticas 23andMe anunció que piratas informáticos accedieron a los datos personales del 0.1% de los clientes, o aproximadamente 14,000 individuos. La compañía también dijo que al acceder a esas cuentas, los piratas informáticos pudieron acceder a “un número significativo de archivos que contenían información de perfil sobre la ascendencia de otros usuarios”. Pero 23andMe no dijo cuántos “otros usuarios” se vieron afectados por la brecha que la empresa reveló inicialmente a principios de octubre.
Resulta que hubo muchos “otros usuarios” que fueron víctimas de esta violación de datos: un total de 6.9 millones de individuos afectados.
En un correo electrónico enviado a TechCrunch el sábado por la noche, la portavoz de 23andMe, Katie Watson, confirmó que los piratas informáticos accedieron a la información personal de aproximadamente 5.5 millones de personas que optaron por la función de Parientes de ADN de 23andMe, que permite a los clientes compartir automáticamente parte de sus datos con otros. Los datos robados incluían el nombre de la persona, año de nacimiento, etiquetas de relación, el porcentaje de ADN compartido con parientes, informes de ascendencia y ubicación autoinformada.
23andMe también confirmó que otro grupo de aproximadamente 1.4 millones de personas que optaron por Parientes de ADN también “tuvieron acceso a su información de perfil del árbol genealógico”, que incluye nombres de visualización, etiquetas de relación, año de nacimiento, ubicación autoinformada y si el usuario decidió compartir su información, dijo la portavoz. (23andMe declaró parte de su correo electrónico como “en segundo plano”, lo que requiere que ambas partes estén de acuerdo con los términos con anticipación. TechCrunch está imprimiendo la respuesta ya que no se nos dio la oportunidad de rechazar los términos).
También se desconoce por qué 23andMe no compartió estos números en su divulgación del viernes.
Teniendo en cuenta los nuevos números, en realidad, se sabe que la violación de datos afecta a aproximadamente la mitad de los 14 millones de clientes informados de 23andMe.
A principios de octubre, un hacker afirmó haber robado la información de ADN de usuarios de 23andMe en una publicación en un conocido foro de piratería. Como prueba de la violación, el hacker publicó los presuntos datos de un millón de usuarios de ascendencia judía asquenazí y 100,000 usuarios chinos, pidiendo a los posibles compradores de $1 a $10 por los datos por cuenta individual. Dos semanas después, el mismo hacker anunció los presuntos registros de otras cuatro millones de personas en el mismo foro de piratería.
TechCrunch descubrió que otro pirata informático en un foro de piratería separado ya había anunciado un lote de datos de clientes supuestamente robados de 23andMe dos meses antes del anuncio ampliamente reportado.
Contáctenos
¿Tiene más información sobre el incidente de 23andMe? Nos encantaría saber de usted. Puede contactar a Lorenzo Franceschi-Bicchierai de manera segura en Signal al +1 917 257 1382, o a través de Telegram, Keybase y Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede contactar a TechCrunch a través de SecureDrop.
Cuando analizamos los datos filtrados de hace meses, TechCrunch descubrió que algunos registros coincidían con datos genéticos publicados en línea por aficionados y genealogistas. Los dos conjuntos de información tenían un formato diferente, pero contenían algunos de los mismos datos únicos de usuarios y genéricos, lo que sugiere que los datos filtrados por el hacker eran al menos en parte datos auténticos de clientes de 23andMe.
Al divulgar el incidente en octubre, 23andMe dijo que la violación de datos fue causada por clientes que reutilizaban contraseñas, lo que permitió a los piratas informáticos forzar las cuentas de las víctimas usando contraseñas públicamente conocidas publicadas en otras violaciones de datos de empresas.
Debido a la forma en que la función de Parientes de ADN coincide con los usuarios con sus familiares, al piratear una cuenta individual, los piratas informáticos pudieron ver los datos personales tanto del titular de la cuenta como de sus familiares, lo que aumentó el número total de víctimas de 23andMe.
Lea más en TechCrunch: