23andMe confirma que hackers roubaram dados de ancestralidade de 6,9 milhões de usuários
(techcrunch.com)- Inicialmente, acreditava-se que cerca de 14 mil contas haviam sido diretamente comprometidas, mas, por meio da rede DNA Relatives, o impacto total aumentou para 6,9 milhões de pessoas
- Cerca de 5,5 milhões de usuários opt-in tiveram expostos nome, ano de nascimento, rótulo de parentesco, porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização autodeclarada
- Outros cerca de 1,4 milhão tiveram informações de perfil do Family Tree acessadas, incluindo nome de exibição, rótulo de parentesco, localização e se escolheram compartilhar informações
- A 23andMe afirmou que a reutilização de senhas pelos clientes permitiu o acesso às contas com senhas vazadas de outros serviços
- Como a invasão de uma conta levou à exposição de informações de parentes conectados, a escala do incidente atingiu cerca de metade dos 14 milhões de clientes totais informados pela 23andMe
Violação de dados da 23andMe cresce para 6,9 milhões de pessoas
- Na sexta-feira, a 23andMe anunciou que hackers acessaram dados pessoais de 0,1% de seus clientes, cerca de 14 mil pessoas
- Na época, a empresa disse que, por meio dessas contas, também foi possível acessar um “número significativo” de arquivos com informações de ancestralidade de outros usuários, mas não divulgou quantos “outros usuários” foram afetados
- Depois, um porta-voz da 23andMe confirmou que o total de vítimas foi de 6,9 milhões
- Esse número corresponde a cerca de metade dos 14 milhões de clientes totais informados pela 23andMe
Informações expostas em DNA Relatives e Family Tree
- Cerca de 5,5 milhões são usuários que aderiram ao recurso DNA Relatives da 23andMe
- Esse recurso permite que clientes compartilhem automaticamente alguns dados com outros usuários
- Os dados acessados pelos hackers incluíam nome, ano de nascimento, rótulo de parentesco, porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização autodeclarada
- Outros cerca de 1,4 milhão de usuários do DNA Relatives que aderiram ao recurso tiveram informações de perfil do Family Tree acessadas
- As informações incluíam nome de exibição, rótulo de parentesco, ano de nascimento, localização autodeclarada e se o usuário escolheu compartilhar informações
- Como o DNA Relatives funciona fazendo correspondência entre usuários e seus parentes, quando uma única conta é invadida, os dados pessoais não só do titular da conta, mas também dos parentes conectados podem ser expostos
- Essa estrutura de conexão fez com que o alcance do dano fosse muito maior do que o número de contas diretamente comprometidas
Postagens em fóruns de hacking e indícios sobre a autenticidade dos dados
- No início de outubro, um hacker afirmou em um conhecido fórum de hacking que havia roubado informações de DNA de usuários da 23andMe
- Como prova da invasão, publicou dados que alegava pertencerem a 1 milhão de usuários de ascendência judaica asquenaze e 100 mil usuários chineses
- Esse hacker ofereceu a venda dos dados por US$ 1 a US$ 10 por conta
- Duas semanas depois, o mesmo hacker anunciou no mesmo fórum de hacking dados adicionais supostamente referentes a 4 milhões de registros
- Em outro fórum de hacking, também foi identificado que pacotes alegadamente contendo dados de clientes da 23andMe já vinham sendo anunciados dois meses antes da divulgação mais conhecida
- Ao analisar dados vazados meses antes, verificou-se que alguns registros coincidiam com dados genéticos publicados online por pesquisadores amadores e genealogistas
- Os dois conjuntos de dados tinham formatos diferentes, mas compartilhavam alguns dados exclusivos de usuários e dados gerais
- Por isso, é possível que ao menos parte dos dados vazados pelo hacker seja realmente de clientes da 23andMe
A causa da violação, segundo a 23andMe
- Na divulgação da violação em outubro, a 23andMe apontou a reutilização de senhas pelos clientes como causa
- Os hackers puderam usar senhas divulgadas em violações de dados de outras empresas para acessar as contas das vítimas por meio de uma técnica de tentativa automatizada
- O acesso a uma única conta se espalhou pela rede de conexões do DNA Relatives e levou ao acesso às informações de outros usuários, ampliando significativamente a escala do incidente
1 comentários
Opiniões no Hacker News
Este incidente é um contraexemplo perfeito para a frase “por que você se preocupa tanto com privacidade? Se eu compartilhar, isso não afeta você; se não quiser, é só não fazer”
Se um parente envia informações genômicas para a 23andMe, informações sobre mim também são reveladas, independentemente da minha escolha
Espero que as pessoas percebam que o mesmo se aplica à coleta de dados comportamentais de pessoas que compartilham a mesma origem
O mais comum é simplesmente “por que você se preocupa tanto com privacidade?”, e muitas vezes elas nem entendem por que privacidade é importante
Mesmo este caso dificilmente será uma refutação mais forte do que outros vazamentos até que mostre danos reais
Fico curioso para saber o que acham que realmente vai acontecer com as pessoas cujos dados de ancestralidade foram roubados desta vez
No caso da 23andMe, o cliente ao menos podia decidir se usaria ou não o serviço e ponderar prós e contras; já a Equifax forçava a pessoa a entrar em um sistema de avaliação que afeta desde pedidos de empréstimo até candidaturas a empregos, e mantinha meus dados pessoais ao sugar dados vendidos por terceiros
Mesmo depois do vazamento, não houve reparação efetiva e, apesar da probabilidade muito alta de roubo de identidade, em vez de reconhecer o erro, ofereceram apenas um “monitoramento de crédito” pro forma
No fim, as agências de crédito que criaram o problema compartilham e distribuem informações sem consentimento, sem assumir responsabilidade alguma
Vejo isso como uma lógica ignorante e autodestrutiva, em que a postura negligente de tratar privacidade como algo sem importância acaba colocando outras pessoas em situação ainda pior
Não consigo imaginar bem um modelo de privacidade que permita impedir outra pessoa de compartilhar as próprias informações só porque parte delas se sobrepõe às minhas
O que vazou parece estar mais próximo de dados de genealogia e parentesco
Dizem que os dados roubados incluem nome, ano de nascimento, rótulos de relacionamento, percentual de DNA compartilhado com parentes, relatórios de ancestralidade e localização autodeclarada
De forma parecida, basta perguntar: “quanto você ganha?”, “posso ler sua correspondência?”, “posso ficar com a chave da sua casa?”
Algumas pessoas têm dificuldade com ideias abstratas, mas, quando você leva a questão para o mundo físico, todos entendem imediatamente o incômodo
Fico curioso para saber o quanto isso tem a ver com a mudança nos termos de uso enviada no Dia de Ação de Graças, no momento perfeito para se perder na caixa de entrada de todo mundo
Essa mudança tenta proibir ações coletivas, exigir um procedimento “informal” de 60 dias antes de qualquer medida judicial e empurrar os clientes para uma arbitragem vinculante
Pelas cláusulas elaboradas pelos advogados da 23andMe, como cliente você praticamente não tem direitos legais reais
Pelo menos na Alemanha, contratos excessivamente favoráveis a uma das partes acabam sendo anulados quando chegam aos tribunais
Não sei bem quais são as consequências disso
“Recomendamos que você leia os novos termos na íntegra. Se não concordar com os termos, informe-nos em até 30 dias a partir da data de recebimento deste e-mail. Nesse caso, os termos de serviço existentes continuarão em vigor. Se não nos informar em até 30 dias, consideraremos que você concordou com os novos termos.”
E-mail para notificação: legal@23andme.com
Fico me perguntando se ainda existe alguém que ache possível manter a privacidade em um sentido prático daqui para frente
Algoritmos de machine learning estão aprendendo a identificar pessoas apenas pela forma de andar, sem reconhecimento facial, e também caminham para decifrar textos digitados apenas pelo som das teclas
Com o conjunto de pistas de todos os dados públicos e algoritmos suficientemente avançados, haverá alguma forma de manter a privacidade que hoje consideramos razoável sem aplicar todas as medidas extremas possíveis?
Não estou tentando fazer um juízo de valor, só dizendo que a tendência em curso parece ser essa
Se ficarmos parados, eles vencem; se discutirmos publicamente, pelo menos há chance de criar salvaguardas
Claro que, para ser sincero, está tudo perdido e a EvilCorp vai vencer, então talvez a gente só esteja gastando energia lutando e enlouquecendo no processo
Resistir é inútil
Isso porque empresas como a Fortinet queriam criar “porteiros automáticos” com câmeras na entrada de apartamentos ou condomínios para escanear e analisar quem passava
Quase não se via senso ético em ninguém envolvido
O necessário é uma legislação forte que explicite o direito ao esquecimento
Não acho que a automação da identificação seja, por si só, inerentemente errada, mas considero profundamente erradas as tentativas das empresas de identificar todos os seres humanos possíveis sem consentimento
A resposta para “por que você quer esconder essa informação?” acaba se reduzindo ao medo de que “[alguma pessoa ou grupo] possa usar [dados privados] para produzir [um resultado ruim] contra mim”
O que as pessoas realmente se importam não são os dados em si, mas o risco de resultados ruins
Se essa tendência estiver correta, o foco deveria estar em impedir os desequilíbrios assimétricos de poder nas transações sociais que podem gerar esses resultados ruins
Antes, eu ficava maluco só de pensar em documentos sigilosos vazando, mas, ao ver como dados pessoais são tratados de forma tão desastrosa, percebi que isso é praticamente garantido
Mesmo na Austrália, onde as leis de privacidade são relativamente boas, o grande hack da Optus resultou no roubo de informações de cartão de crédito de cerca de metade da população, e o hack da Medibank expôs dados de uma parcela significativa dos clientes de seguro-saúde privado
Ao solicitar um financiamento imobiliário, descobri que até pequenas corretoras de hipoteca do bairro recebem por e-mail centenas ou milhares de documentos sensíveis de identidade todos os anos e nem os apagam depois que a transação termina
Muitas empresas na Austrália verificam identidade apenas com nome, endereço e data de nascimento, algo que normalmente se encontra com uma busca de 5 minutos
Durante anos configurei um PIN na minha conta da Telstra que deveria impedir alterações administrativas, mas um dia liguei e eles simplesmente resolveram tudo sem nem pedir a senha
Para que a privacidade seja respeitada, acho que a única saída é responsabilizar pelo golpe a empresa, que é a verdadeira vítima
A velha piada de que “minha identidade foi roubada” também, na verdade, não significa que a identidade foi roubada; significa que o processo de verificação da empresa falhou e ela está transferindo a culpa para evitar arcar com o prejuízo
Por isso, hoje em dia uso apenas cartão de crédito
Se houver uso fraudulento, posso pedir chargeback, e esse é praticamente o único mecanismo que realmente impede acesso não autorizado ao meu dinheiro
Aconteceu uma coisa bem assustadora recentemente
Um hospital que visitei alguns meses atrás me ligou pedindo que eu participasse de um programa de análise de DNA
Disseram: “A melhor parte é que você não precisa fazer nada. Podemos usar a amostra de sangue que coletamos da outra vez”
É claro que recusei, mas achei absurdo que tenham armazenado, sem me avisar, uma amostra biológica associada a mim e que ainda pudessem fazer uma análise de DNA posteriormente
Pareceu uma prova de que as leis de privacidade nos EUA praticamente não existem
Na UE, não é permitido congelar e armazenar uma amostra sem consentimento, e amostras não congeladas só são permitidas por alguns dias
O artigo da Wikipédia está apenas em sueco
Como era de se esperar, ou talvez de forma interessante, a polícia não tinha acesso a esses dados até que, após o assassinato de uma ministra do governo em 2003, obteve uma amostra de um suspeito
Pelo que se sabe, não foi usado desde então
Dá para encarar com cinismo, mas, até agora, o uso do registro pela polícia não se consolidou e continua sob controle dos tribunais
Então não significa que existe alguma lei de privacidade?
Talvez isso fizesse parte de um processo para organizar resultados ou amostras antigos
Tem algo que não fecha
“A 23andMe disse que o vazamento de dados ocorreu por causa da reutilização de senhas pelos clientes”, mas, se 14 mil contas foram comprometidas de uma vez, de onde vieram essas senhas?
Será que não houve algum outro vazamento relacionado, como o da LastPass?
Além disso, se os hackers acessaram os dados pessoais de 6,9 milhões de pessoas usando o recurso “DNA Relatives”, isso significa que cada uma das 14 mil contas originalmente comprometidas tinha cerca de 492 parentes únicos
O que estou deixando passar?
Os invasores podem ter raspado os dados usando uma grande rede distribuída, mas é mais provável que simplesmente não houvesse detecção ou proteção para começo de conversa
Só que, quando fiz login para verificar o número de parentes na minha conta, a 23andMe bloqueou meu acesso alegando reutilização de senha e exigiu uma redefinição
Sempre usei uma senha muito forte nessa conta, nunca a reutilizei em lugar nenhum, e a autenticação de dois fatores também estava ativada
A empresa também não parece totalmente confortável com a explicação de que a causa foram senhas reutilizadas
Depois de redefinir uma senha que nunca havia sido reutilizada, verifiquei e o painel de parentes de DNA tinha 60 páginas, com 25 pessoas por página, então seria possível extrair um total de 1.500 parentes
Se você raspar isso de 14 mil contas aleatórias, dá para montar uma rede de tamanho considerável
Grandes listas reunindo vários vazamentos de senhas do passado estão disponíveis publicamente, e não só invasores, mas qualquer pessoa consegue acessá-las facilmente
Entre mais de 14 milhões de usuários, é perfeitamente plausível que 14 mil, ou 0,1%, tenham reutilizado senhas vazadas em outro lugar
Ainda mais se essas senhas não forem explicitamente detectadas e invalidadas, como na discussão de ontem no HN sobre o trabalho de Troy Hunt
Se os nomes de usuário e senhas tivessem vazado da 23andMe, não seria um problema de reutilização; seria apenas alguém encontrando e crackeando uma lista de credenciais da 23andMe
Não há nada de surpreendente em 14 mil usuários da 23andMe aparecerem em listas de vazamentos de outros sites, ou em listas combinadas de vazamentos de vários sites
Pelo que aparece em buscas, a 23andMe tem 14 milhões de clientes, e o vazamento de 14 mil contas significa que 1 em cada 1.000 contas foi comprometida
Na minha lista de parentes de DNA aparecem pouco mais de 1.500 pessoas
Se cada conta tinha 1/1000 de chance de ser hackeada, a probabilidade de nenhum dos meus parentes ter sido hackeado é (1-1/1000)^1500 = 0,223
A probabilidade de pelo menos um parente ter sido hackeado fica em 0,777
Supondo que eu seja mediano, seria esperado que cerca de 10,8 milhões de pessoas tivessem uma conta hackeada entre seus parentes, o que parece suficientemente próximo do número de 6,9 milhões
Nunca pensei seriamente em usar a 23andMe
Não por causa dos hackers, mas por causa de como o governo pode usar essas informações
Não quero ser responsável por um parente qualquer acabar sendo suspeito de um crime só porque eu estava curioso sobre a árvore genealógica
Estou plenamente ciente das preocupações com privacidade e informações de identificação pessoal, mas, para mim, certamente valeu a pena por entender melhor quem eu sou e por encontrar parentes que me receberam de forma muito acolhedora
No fim, é uma troca de vantagens e riscos
Eu faria o teste se, depois de fazê-lo e receber os resultados, os dados e as informações de teste do lado da empresa fossem destruídos, ou se fosse possível fazer um teste doméstico em que os dados não saíssem de casa
É difícil entender por que as empresas continuam armazenando esses dados
É uma responsabilidade enorme
Neste caso, talvez seja por causa do recurso de identificação de parentesco, mas questiono se esse recurso vale o risco
Os casos que vi serem resolvidos com essa tecnologia eram do tipo em que eu ficaria feliz se algo que fiz ajudasse a impedir alguém de cometer algo gravemente ruim
Basta imaginar o que eles teriam feito se colocassem as mãos em um banco de dados de informações genéticas
Por coincidência, ontem li em outra thread um ótimo comentário do adameasterling sobre ataques de preenchimento de credenciais [1]
O conteúdo era: “Troy Hunt é uma pessoa realmente inestimável. Se você é desenvolvedor de aplicações web, não há desculpa para não se proteger contra ataques de preenchimento de credenciais. A melhor defesa provavelmente é a autenticação de dois fatores, mas comparar com o banco de dados de senhas com hash do Hunt também é muito bom e não exige trabalho adicional do usuário”
Embora aquele comentário seja de 60 dias atrás, ele citava a 23andMe [2] como exemplo, e este incidente também é mencionado no artigo da TechCrunch
[1] https://news.ycombinator.com/item?id=38521106
[2] https://news.ycombinator.com/item?id=37794379
A esta altura, parece que qualquer empresa que coleta dados será hackeada algum dia
Não é uma questão de “se vai acontecer”, mas de quando vai acontecer
Querer enviar material de marketing não é um bom motivo
É porque investir em segurança geralmente não é uma prioridade de negócio
Isso funciona assim não só para a direção, mas também para quem executa, por meio de coerção e incentivos
A maioria desses grandes hacks vem de ameaças bem conhecidas que até auditorias comuns, feitas de boa-fé, conseguiriam detectar
“Felizmente, agora oferecemos um serviço de monitoramento genômico. Por apenas US$ 79,99 por mês, você receberá uma notificação sempre que alguém tentar acessar seus registros genéticos!” — 23andMe
“Se você não tem nada a esconder, por que teria medo?”
Eu tenho medo de pessoas idiotas em posições de poder
O uso de correspondência de DNA como técnica para resolver crimes sempre foi bastante problemático
“Provas de DNA não são tão confiáveis quanto muita gente acredita”
https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
“A falsa promessa dos testes de DNA”
https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
“Como provas forenses de DNA podem levar a condenações injustas”
https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/