1 pontos por GN⁺ 2023-12-06 | 1 comentários | Compartilhar no WhatsApp
  • Inicialmente, acreditava-se que cerca de 14 mil contas haviam sido diretamente comprometidas, mas, por meio da rede DNA Relatives, o impacto total aumentou para 6,9 milhões de pessoas
  • Cerca de 5,5 milhões de usuários opt-in tiveram expostos nome, ano de nascimento, rótulo de parentesco, porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização autodeclarada
  • Outros cerca de 1,4 milhão tiveram informações de perfil do Family Tree acessadas, incluindo nome de exibição, rótulo de parentesco, localização e se escolheram compartilhar informações
  • A 23andMe afirmou que a reutilização de senhas pelos clientes permitiu o acesso às contas com senhas vazadas de outros serviços
  • Como a invasão de uma conta levou à exposição de informações de parentes conectados, a escala do incidente atingiu cerca de metade dos 14 milhões de clientes totais informados pela 23andMe

Violação de dados da 23andMe cresce para 6,9 milhões de pessoas

  • Na sexta-feira, a 23andMe anunciou que hackers acessaram dados pessoais de 0,1% de seus clientes, cerca de 14 mil pessoas
  • Na época, a empresa disse que, por meio dessas contas, também foi possível acessar um “número significativo” de arquivos com informações de ancestralidade de outros usuários, mas não divulgou quantos “outros usuários” foram afetados
  • Depois, um porta-voz da 23andMe confirmou que o total de vítimas foi de 6,9 milhões
  • Esse número corresponde a cerca de metade dos 14 milhões de clientes totais informados pela 23andMe

Informações expostas em DNA Relatives e Family Tree

  • Cerca de 5,5 milhões são usuários que aderiram ao recurso DNA Relatives da 23andMe
    • Esse recurso permite que clientes compartilhem automaticamente alguns dados com outros usuários
    • Os dados acessados pelos hackers incluíam nome, ano de nascimento, rótulo de parentesco, porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização autodeclarada
  • Outros cerca de 1,4 milhão de usuários do DNA Relatives que aderiram ao recurso tiveram informações de perfil do Family Tree acessadas
    • As informações incluíam nome de exibição, rótulo de parentesco, ano de nascimento, localização autodeclarada e se o usuário escolheu compartilhar informações
  • Como o DNA Relatives funciona fazendo correspondência entre usuários e seus parentes, quando uma única conta é invadida, os dados pessoais não só do titular da conta, mas também dos parentes conectados podem ser expostos
  • Essa estrutura de conexão fez com que o alcance do dano fosse muito maior do que o número de contas diretamente comprometidas

Postagens em fóruns de hacking e indícios sobre a autenticidade dos dados

  • No início de outubro, um hacker afirmou em um conhecido fórum de hacking que havia roubado informações de DNA de usuários da 23andMe
  • Como prova da invasão, publicou dados que alegava pertencerem a 1 milhão de usuários de ascendência judaica asquenaze e 100 mil usuários chineses
  • Esse hacker ofereceu a venda dos dados por US$ 1 a US$ 10 por conta
  • Duas semanas depois, o mesmo hacker anunciou no mesmo fórum de hacking dados adicionais supostamente referentes a 4 milhões de registros
  • Em outro fórum de hacking, também foi identificado que pacotes alegadamente contendo dados de clientes da 23andMe já vinham sendo anunciados dois meses antes da divulgação mais conhecida
  • Ao analisar dados vazados meses antes, verificou-se que alguns registros coincidiam com dados genéticos publicados online por pesquisadores amadores e genealogistas
    • Os dois conjuntos de dados tinham formatos diferentes, mas compartilhavam alguns dados exclusivos de usuários e dados gerais
    • Por isso, é possível que ao menos parte dos dados vazados pelo hacker seja realmente de clientes da 23andMe

A causa da violação, segundo a 23andMe

  • Na divulgação da violação em outubro, a 23andMe apontou a reutilização de senhas pelos clientes como causa
  • Os hackers puderam usar senhas divulgadas em violações de dados de outras empresas para acessar as contas das vítimas por meio de uma técnica de tentativa automatizada
  • O acesso a uma única conta se espalhou pela rede de conexões do DNA Relatives e levou ao acesso às informações de outros usuários, ampliando significativamente a escala do incidente

1 comentários

 
GN⁺ 2023-12-06
Opiniões no Hacker News
  • Este incidente é um contraexemplo perfeito para a frase “por que você se preocupa tanto com privacidade? Se eu compartilhar, isso não afeta você; se não quiser, é só não fazer”
    Se um parente envia informações genômicas para a 23andMe, informações sobre mim também são reveladas, independentemente da minha escolha
    Espero que as pessoas percebam que o mesmo se aplica à coleta de dados comportamentais de pessoas que compartilham a mesma origem

    • Concordo com esse contra-argumento em si, mas não sei se as pessoas realmente falam desse jeito
      O mais comum é simplesmente “por que você se preocupa tanto com privacidade?”, e muitas vezes elas nem entendem por que privacidade é importante
      Mesmo este caso dificilmente será uma refutação mais forte do que outros vazamentos até que mostre danos reais
      Fico curioso para saber o que acham que realmente vai acontecer com as pessoas cujos dados de ancestralidade foram roubados desta vez
    • Pessoalmente, acho que o vazamento da Equifax foi um contraexemplo melhor
      No caso da 23andMe, o cliente ao menos podia decidir se usaria ou não o serviço e ponderar prós e contras; já a Equifax forçava a pessoa a entrar em um sistema de avaliação que afeta desde pedidos de empréstimo até candidaturas a empregos, e mantinha meus dados pessoais ao sugar dados vendidos por terceiros
      Mesmo depois do vazamento, não houve reparação efetiva e, apesar da probabilidade muito alta de roubo de identidade, em vez de reconhecer o erro, ofereceram apenas um “monitoramento de crédito” pro forma
      No fim, as agências de crédito que criaram o problema compartilham e distribuem informações sem consentimento, sem assumir responsabilidade alguma
      Vejo isso como uma lógica ignorante e autodestrutiva, em que a postura negligente de tratar privacidade como algo sem importância acaba colocando outras pessoas em situação ainda pior
    • Apoio a privacidade e tendo a evitar compartilhar informações, mesmo aceitando mais inconvenientes do que a maioria das pessoas, mas também acho que a escolha individual é importante
      Não consigo imaginar bem um modelo de privacidade que permita impedir outra pessoa de compartilhar as próprias informações só porque parte delas se sobrepõe às minhas
    • Para ser preciso, não foi noticiado que dados genômicos tenham sido roubados
      O que vazou parece estar mais próximo de dados de genealogia e parentesco
      Dizem que os dados roubados incluem nome, ano de nascimento, rótulos de relacionamento, percentual de DNA compartilhado com parentes, relatórios de ancestralidade e localização autodeclarada
    • Concordo
      De forma parecida, basta perguntar: “quanto você ganha?”, “posso ler sua correspondência?”, “posso ficar com a chave da sua casa?”
      Algumas pessoas têm dificuldade com ideias abstratas, mas, quando você leva a questão para o mundo físico, todos entendem imediatamente o incômodo
  • Fico curioso para saber o quanto isso tem a ver com a mudança nos termos de uso enviada no Dia de Ação de Graças, no momento perfeito para se perder na caixa de entrada de todo mundo
    Essa mudança tenta proibir ações coletivas, exigir um procedimento “informal” de 60 dias antes de qualquer medida judicial e empurrar os clientes para uma arbitragem vinculante
    Pelas cláusulas elaboradas pelos advogados da 23andMe, como cliente você praticamente não tem direitos legais reais

    • Será que isso é válido em tribunal?
      Pelo menos na Alemanha, contratos excessivamente favoráveis a uma das partes acabam sendo anulados quando chegam aos tribunais
    • Acabei de receber a atualização por e-mail, e parece que há uma opção de recusa nos novos termos
      Não sei bem quais são as consequências disso
      “Recomendamos que você leia os novos termos na íntegra. Se não concordar com os termos, informe-nos em até 30 dias a partir da data de recebimento deste e-mail. Nesse caso, os termos de serviço existentes continuarão em vigor. Se não nos informar em até 30 dias, consideraremos que você concordou com os novos termos.”
      E-mail para notificação: legal@23andme.com
    • Se 6,9 milhões de usuários iniciarem procedimentos de arbitragem, talvez a própria 23andMe acabe preferindo uma ação coletiva
  • Fico me perguntando se ainda existe alguém que ache possível manter a privacidade em um sentido prático daqui para frente
    Algoritmos de machine learning estão aprendendo a identificar pessoas apenas pela forma de andar, sem reconhecimento facial, e também caminham para decifrar textos digitados apenas pelo som das teclas
    Com o conjunto de pistas de todos os dados públicos e algoritmos suficientemente avançados, haverá alguma forma de manter a privacidade que hoje consideramos razoável sem aplicar todas as medidas extremas possíveis?
    Não estou tentando fazer um juízo de valor, só dizendo que a tendência em curso parece ser essa

    • Provavelmente será difícil, mas isso não é motivo para desistir de discutir como a privacidade do futuro deveria ser
      Se ficarmos parados, eles vencem; se discutirmos publicamente, pelo menos há chance de criar salvaguardas
      Claro que, para ser sincero, está tudo perdido e a EvilCorp vai vencer, então talvez a gente só esteja gastando energia lutando e enlouquecendo no processo
      Resistir é inútil
    • Há cerca de 10 anos, eu conhecia pessoas que pesquisavam algoritmos de visão computacional para reconhecer pessoas não pelo rosto, mas pelo formato da orelha, pela marcha e por características corporais
      Isso porque empresas como a Fortinet queriam criar “porteiros automáticos” com câmeras na entrada de apartamentos ou condomínios para escanear e analisar quem passava
      Quase não se via senso ético em ninguém envolvido
      O necessário é uma legislação forte que explicite o direito ao esquecimento
      Não acho que a automação da identificação seja, por si só, inerentemente errada, mas considero profundamente erradas as tentativas das empresas de identificar todos os seres humanos possíveis sem consentimento
    • O governo britânico, de certo modo, já pesquisava uma forma de caminhar que preserva a privacidade há décadas: https://youtu.be/eCLp7zodUiI
    • Concordo, mas privacidade também é uma abstração por cima daquilo com que as pessoas realmente se preocupam
      A resposta para “por que você quer esconder essa informação?” acaba se reduzindo ao medo de que “[alguma pessoa ou grupo] possa usar [dados privados] para produzir [um resultado ruim] contra mim”
      O que as pessoas realmente se importam não são os dados em si, mas o risco de resultados ruins
      Se essa tendência estiver correta, o foco deveria estar em impedir os desequilíbrios assimétricos de poder nas transações sociais que podem gerar esses resultados ruins
    • Pessoalmente, não acho que seja possível manter isso
      Antes, eu ficava maluco só de pensar em documentos sigilosos vazando, mas, ao ver como dados pessoais são tratados de forma tão desastrosa, percebi que isso é praticamente garantido
      Mesmo na Austrália, onde as leis de privacidade são relativamente boas, o grande hack da Optus resultou no roubo de informações de cartão de crédito de cerca de metade da população, e o hack da Medibank expôs dados de uma parcela significativa dos clientes de seguro-saúde privado
      Ao solicitar um financiamento imobiliário, descobri que até pequenas corretoras de hipoteca do bairro recebem por e-mail centenas ou milhares de documentos sensíveis de identidade todos os anos e nem os apagam depois que a transação termina
      Muitas empresas na Austrália verificam identidade apenas com nome, endereço e data de nascimento, algo que normalmente se encontra com uma busca de 5 minutos
      Durante anos configurei um PIN na minha conta da Telstra que deveria impedir alterações administrativas, mas um dia liguei e eles simplesmente resolveram tudo sem nem pedir a senha
      Para que a privacidade seja respeitada, acho que a única saída é responsabilizar pelo golpe a empresa, que é a verdadeira vítima
      A velha piada de que “minha identidade foi roubada” também, na verdade, não significa que a identidade foi roubada; significa que o processo de verificação da empresa falhou e ela está transferindo a culpa para evitar arcar com o prejuízo
      Por isso, hoje em dia uso apenas cartão de crédito
      Se houver uso fraudulento, posso pedir chargeback, e esse é praticamente o único mecanismo que realmente impede acesso não autorizado ao meu dinheiro
  • Aconteceu uma coisa bem assustadora recentemente
    Um hospital que visitei alguns meses atrás me ligou pedindo que eu participasse de um programa de análise de DNA
    Disseram: “A melhor parte é que você não precisa fazer nada. Podemos usar a amostra de sangue que coletamos da outra vez”
    É claro que recusei, mas achei absurdo que tenham armazenado, sem me avisar, uma amostra biológica associada a mim e que ainda pudessem fazer uma análise de DNA posteriormente
    Pareceu uma prova de que as leis de privacidade nos EUA praticamente não existem
    Na UE, não é permitido congelar e armazenar uma amostra sem consentimento, e amostras não congeladas só são permitidas por alguns dias

    • Na Suécia, existe um registro de amostras de sangue de todas as pessoas nascidas na Suécia desde 1975: https://sv.wikipedia.org/wiki/PKU-registret
      O artigo da Wikipédia está apenas em sueco
      Como era de se esperar, ou talvez de forma interessante, a polícia não tinha acesso a esses dados até que, após o assassinato de uma ministra do governo em 2003, obteve uma amostra de um suspeito
      Pelo que se sabe, não foi usado desde então
      Dá para encarar com cinismo, mas, até agora, o uso do registro pela polícia não se consolidou e continua sob controle dos tribunais
    • Ainda assim, o hospital ligou para pedir permissão de uso e, se cumpriu a lei, provavelmente não teria usado a amostra de fato
      Então não significa que existe alguma lei de privacidade?
      Talvez isso fizesse parte de um processo para organizar resultados ou amostras antigos
  • Tem algo que não fecha
    “A 23andMe disse que o vazamento de dados ocorreu por causa da reutilização de senhas pelos clientes”, mas, se 14 mil contas foram comprometidas de uma vez, de onde vieram essas senhas?
    Será que não houve algum outro vazamento relacionado, como o da LastPass?
    Além disso, se os hackers acessaram os dados pessoais de 6,9 milhões de pessoas usando o recurso “DNA Relatives”, isso significa que cada uma das 14 mil contas originalmente comprometidas tinha cerca de 492 parentes únicos
    O que estou deixando passar?

    • O fato de 14 mil contas terem sido comprometidas, por si só, não é tão surpreendente, tirando o problema técnico de não terem limitado ou detectado tentativas de login em contas diferentes continuamente
      Os invasores podem ter raspado os dados usando uma grande rede distribuída, mas é mais provável que simplesmente não houvesse detecção ou proteção para começo de conversa
      Só que, quando fiz login para verificar o número de parentes na minha conta, a 23andMe bloqueou meu acesso alegando reutilização de senha e exigiu uma redefinição
      Sempre usei uma senha muito forte nessa conta, nunca a reutilizei em lugar nenhum, e a autenticação de dois fatores também estava ativada
      A empresa também não parece totalmente confortável com a explicação de que a causa foram senhas reutilizadas
      Depois de redefinir uma senha que nunca havia sido reutilizada, verifiquei e o painel de parentes de DNA tinha 60 páginas, com 25 pessoas por página, então seria possível extrair um total de 1.500 parentes
      Se você raspar isso de 14 mil contas aleatórias, dá para montar uma rede de tamanho considerável
    • Não é nada surpreendente
      Grandes listas reunindo vários vazamentos de senhas do passado estão disponíveis publicamente, e não só invasores, mas qualquer pessoa consegue acessá-las facilmente
      Entre mais de 14 milhões de usuários, é perfeitamente plausível que 14 mil, ou 0,1%, tenham reutilizado senhas vazadas em outro lugar
      Ainda mais se essas senhas não forem explicitamente detectadas e invalidadas, como na discussão de ontem no HN sobre o trabalho de Troy Hunt
    • Se foi um vazamento causado por reutilização de senhas, isso deve significar que combinações de nome de usuário e senha vazaram de outro lugar
      Se os nomes de usuário e senhas tivessem vazado da 23andMe, não seria um problema de reutilização; seria apenas alguém encontrando e crackeando uma lista de credenciais da 23andMe
      Não há nada de surpreendente em 14 mil usuários da 23andMe aparecerem em listas de vazamentos de outros sites, ou em listas combinadas de vazamentos de vários sites
    • Se a minha situação na 23andMe for próxima da média em termos de número de parentes de DNA e de vulnerabilidade desses parentes a hacks, faz sentido
      Pelo que aparece em buscas, a 23andMe tem 14 milhões de clientes, e o vazamento de 14 mil contas significa que 1 em cada 1.000 contas foi comprometida
      Na minha lista de parentes de DNA aparecem pouco mais de 1.500 pessoas
      Se cada conta tinha 1/1000 de chance de ser hackeada, a probabilidade de nenhum dos meus parentes ter sido hackeado é (1-1/1000)^1500 = 0,223
      A probabilidade de pelo menos um parente ter sido hackeado fica em 0,777
      Supondo que eu seja mediano, seria esperado que cerca de 10,8 milhões de pessoas tivessem uma conta hackeada entre seus parentes, o que parece suficientemente próximo do número de 6,9 milhões
  • Nunca pensei seriamente em usar a 23andMe
    Não por causa dos hackers, mas por causa de como o governo pode usar essas informações
    Não quero ser responsável por um parente qualquer acabar sendo suspeito de um crime só porque eu estava curioso sobre a árvore genealógica

    • Graças à 23andMe, descobri que meu pai não era meu pai biológico de fato, e que eu tinha uma meia-irmã e um grande grupo de parentes cuja existência eu nem conhecia
      Estou plenamente ciente das preocupações com privacidade e informações de identificação pessoal, mas, para mim, certamente valeu a pena por entender melhor quem eu sou e por encontrar parentes que me receberam de forma muito acolhedora
      No fim, é uma troca de vantagens e riscos
    • Tenho muita curiosidade sobre as minhas informações da 23andMe, mas presumi que algum dia elas seriam hackeadas ou vendidas para alguma organização não confiável tentando ganhar dinheiro rápido explorando os usuários
      Eu faria o teste se, depois de fazê-lo e receber os resultados, os dados e as informações de teste do lado da empresa fossem destruídos, ou se fosse possível fazer um teste doméstico em que os dados não saíssem de casa
      É difícil entender por que as empresas continuam armazenando esses dados
      É uma responsabilidade enorme
      Neste caso, talvez seja por causa do recurso de identificação de parentesco, mas questiono se esse recurso vale o risco
    • Houve algum caso em que esses bancos de dados foram usados para apresentar acusações que não fossem de homicídio ou estupro?
      Os casos que vi serem resolvidos com essa tecnologia eram do tipo em que eu ficaria feliz se algo que fiz ajudasse a impedir alguém de cometer algo gravemente ruim
    • Se essa é sua única preocupação, você deveria ler mais sobre os nazistas
      Basta imaginar o que eles teriam feito se colocassem as mãos em um banco de dados de informações genéticas
  • Por coincidência, ontem li em outra thread um ótimo comentário do adameasterling sobre ataques de preenchimento de credenciais [1]
    O conteúdo era: “Troy Hunt é uma pessoa realmente inestimável. Se você é desenvolvedor de aplicações web, não há desculpa para não se proteger contra ataques de preenchimento de credenciais. A melhor defesa provavelmente é a autenticação de dois fatores, mas comparar com o banco de dados de senhas com hash do Hunt também é muito bom e não exige trabalho adicional do usuário”
    Embora aquele comentário seja de 60 dias atrás, ele citava a 23andMe [2] como exemplo, e este incidente também é mencionado no artigo da TechCrunch
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • A esta altura, parece que qualquer empresa que coleta dados será hackeada algum dia
    Não é uma questão de “se vai acontecer”, mas de quando vai acontecer

    • A menos que haja um motivo muito bom, as penalidades deveriam ser fortes o bastante para impedir sites e apps de coletar mais do que endereços de e-mail
      Querer enviar material de marketing não é um bom motivo
    • Se o governo quiser receber ou alterar os dados, eles nem precisam ser hackeados
    • Não é porque proteger a si mesmo seja difícil
      É porque investir em segurança geralmente não é uma prioridade de negócio
      Isso funciona assim não só para a direção, mas também para quem executa, por meio de coerção e incentivos
      A maioria desses grandes hacks vem de ameaças bem conhecidas que até auditorias comuns, feitas de boa-fé, conseguiriam detectar
  • “Felizmente, agora oferecemos um serviço de monitoramento genômico. Por apenas US$ 79,99 por mês, você receberá uma notificação sempre que alguém tentar acessar seus registros genéticos!” — 23andMe

  • “Se você não tem nada a esconder, por que teria medo?”
    Eu tenho medo de pessoas idiotas em posições de poder
    O uso de correspondência de DNA como técnica para resolver crimes sempre foi bastante problemático
    “Provas de DNA não são tão confiáveis quanto muita gente acredita”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “A falsa promessa dos testes de DNA”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “Como provas forenses de DNA podem levar a condenações injustas”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/