23andMe confirma que hackers roubaram dados de ancestralidade de 6,9 milhões de usuários

 (techcrunch.com)
1 pontos por GN⁺ 2023-12-06 | 1 comentários | Compartilhar no WhatsApp

Caso de invasão da 23andMe: confirmado o roubo de dados de ancestralidade de 6,9 milhões de pessoas

  • A empresa de testes genéticos 23andMe anunciou que hackers acessaram dados pessoais de clientes, incluindo informações pessoais de cerca de 14 mil pessoas e um grande volume de arquivos com informações de perfil sobre a ancestralidade de outros usuários.
  • Os hackers acessaram dados pessoais de cerca de 5,5 milhões de pessoas que aderiram ao recurso DNA Relatives da 23andMe, e os dados roubados incluíam nomes, ano de nascimento, rótulos de parentesco, porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização autodeclarada.
  • Além disso, cerca de 1,4 milhão de usuários que aderiram ao recurso DNA Relatives também tiveram informações de perfil da árvore genealógica acessadas, incluindo nome de exibição, rótulos de parentesco, ano de nascimento, localização autodeclarada e se compartilham informações.

Anúncio do vazamento de dados em fórum de hackers

  • No início de outubro, um hacker afirmou em um conhecido fórum de hacking que havia roubado informações de DNA de usuários da 23andMe, divulgou dados de 1 milhão de descendentes judeus asquenazes e 100 mil usuários chineses, e pediu entre US$ 1 e US$ 10 por dados de contas individuais.
  • Depois, o mesmo hacker anunciou mais 4 milhões de registros no mesmo fórum, e o TechCrunch descobriu que outro hacker já havia anunciado, dois meses antes, dados roubados de clientes da 23andMe em um fórum de hacking separado.
  • Os dados vazados meses antes e analisados pelo TechCrunch correspondiam em parte a registros de pessoas que publicavam informações genéticas online por hobby, sugerindo que os dados divulgados pelos hackers eram, ao menos em parte, dados reais de clientes da 23andMe.

Vazamento de dados causado por reutilização de senha

  • Na divulgação do incidente feita em outubro, a 23andMe afirmou que o vazamento ocorreu porque clientes reutilizaram senhas.
  • Os hackers conseguiram invadir as contas das vítimas por ataques de força bruta usando senhas expostas em vazamentos de dados de outras empresas.
  • Como o recurso DNA Relatives conecta usuários aos seus parentes, invadir a conta de uma pessoa permitia visualizar dados pessoais não só do titular da conta, mas também de seus parentes, aumentando o número de vítimas.

Opinião do GN⁺

O ponto mais importante desta matéria é que a 23andMe, serviço de testes genéticos, sofreu um vazamento de dados em larga escala. O caso revelou que dados de ancestralidade de cerca de 6,9 milhões de usuários foram roubados por hackers, número que se aproxima de metade da base de clientes da 23andMe. O vazamento foi causado pela reutilização de senhas, o que reforça mais uma vez a importância da segurança online. A matéria é interessante porque mostra o quão sensíveis são as informações genéticas pessoais e como esses dados podem parar em mãos erradas. Isso também pode servir para aumentar a conscientização pública sobre privacidade e cibersegurança.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-06
Opinião no Hacker News

  • A importância da privacidade

    • Aponta que parentes compartilharem dados genéticos em serviços como o 23andMe afeta a exposição das suas próprias informações.
    • Espera que isso mostre que a coleta de dados comportamentais também pode afetar outras pessoas com origens em comum.

  • Problema com a atualização dos termos de uso da 23andMe

    • A atualização dos termos de uso anunciada no Dia de Ação de Graças proíbe ação coletiva, exige um processo informal de 60 dias antes de qualquer medida legal e arbitragem vinculante.
    • Parece ter sido elaborada pelos advogados da 23andMe de forma que os clientes, na prática, quase não tenham direitos legais.

  • Dúvidas sobre o futuro da privacidade

    • Os algoritmos de aprendizado de máquina estão evoluindo a ponto de identificar pessoas apenas pela forma de andar e decodificar texto apenas pelo som do teclado.
    • Expressa a dificuldade de manter o nível atual de privacidade razoável usando dados públicos e algoritmos avançados.

  • Experiência com pedido de participação em programa hospitalar de análise de DNA

    • Um hospital propôs fazer análise de DNA usando amostras de sangue coletadas anteriormente.
    • É um exemplo que mostra que, nos EUA, leis de privacidade praticamente não existem; na Europa, amostras não podem ser armazenadas sem consentimento.

  • Suspeita de vazamento de dados da 23andMe

    • 14.000 contas foram comprometidas de uma vez, e hackers acessaram informações pessoais de 6,9 milhões de pessoas por meio do recurso 'DNA Relatives'.
    • Isso significa que cada conta tinha, em média, informações de 492 parentes únicos.

  • Ceticismo pessoal sobre usar o serviço da 23andMe

    • Não considera usar o serviço por preocupação com a forma como governos, e não hackers, poderiam usar essas informações.

  • Links de notícias recentes relacionados à 23andMe

    • Fornece links de notícias sobre incidentes de vazamento de dados e invasões relacionados à 23andMe ocorridos em dezembro e outubro de 2023.

  • Discussão sobre credential stuffing

    • Enfatiza que desenvolvedores de aplicações web devem adotar medidas de proteção contra credential stuffing.
    • Menciona que usar o banco de dados de senhas com hash de Troy Hunt é uma boa defesa.

  • Possibilidade de invasão em empresas que coletam dados

    • Expressa a opinião de que toda empresa que coleta dados acabará sendo invadida.

  • Possibilidade de ação coletiva por pessoas que não usaram a 23andMe

    • Levanta a questão de se é possível reivindicar o direito à privacidade mesmo quando foi um parente que usou a 23andMe.