23andMe ha confermato che una recente violazione ha fatto trapelare dati appartenenti a 6,9 milioni di utenti. In una dichiarazione il portavoce dell’azienda Andy Kill afferma che la violazione ha colpito circa 5,5 milioni di utenti che avevano abilitato DNA Relatives, una funzionalità che abbina gli utenti con composizioni genetiche simili, mentre altri 1,4 milioni di persone hanno avuto accesso ai loro profili dell’albero genealogico.
In un deposito presso la Securities and Exchange Commission (SEC) e aggiornamento al suo post sul blog Alla fine del 1° dicembre, 23andMe ha affermato che un hacker che ha utilizzato un attacco di credential stuffing, accedendo con le informazioni dell’account ottenute in altre violazioni della Sicurezza, in genere a causa del riutilizzo della password, ha avuto accesso direttamente allo 0,1% degli account utente, per un totale di circa 14.000 utenti. Con l’accesso a tali account, gli aggressori hanno utilizzato la funzione DNA Relatives, che abbina le persone ad altri membri con cui potrebbero condividere origini, per accedere a informazioni aggiuntive da milioni di altri profili.
“Non abbiamo ancora alcuna indicazione che si sia verificato un incidente di sicurezza dei dati all’interno dei nostri sistemi”
La sua dichiarazione di venerdì ha notato l’hacker Anche ha avuto accesso a “un numero significativo di file” tramite la funzione Parenti ma non ha incluso la cifra sopra indicata.
Uccidi racconta Il limite“Non abbiamo ancora alcuna indicazione che si sia verificato un incidente di sicurezza dei dati all’interno dei nostri sistemi o che 23andMe fosse la fonte delle credenziali dell’account utilizzate in questi attacchi.” Questa affermazione è in contrasto con il fatto che le informazioni di 6,9 milioni di utenti sono ora nelle mani degli aggressori. La stragrande maggioranza di queste persone è interessata perché ha aderito a una funzionalità fornita da 23andMe, che non è riuscita a prevenire la violazione limitando l’accesso alle informazioni o richiedendo ulteriore sicurezza dell’account.
I primi segnali pubblici di problemi sono comparsi a ottobre, quando 23andMe ha confermato che le informazioni degli utenti erano in vendita sul dark web. Il sito di test genetici ha poi affermato che stava indagando sulle affermazioni di un hacker secondo cui sarebbero trapelati 4 milioni di profili genetici di persone in Gran Bretagna e “delle persone più ricche che vivono negli Stati Uniti e in Europa occidentale”.
I 5,5 milioni di profili DNA Relatives trapelati includevano utenti che non avevano preso parte all’attacco iniziale di credential stuffing. I dati rivelati includono elementi come nomi visualizzati, relazioni previste con altri, la quantità di DNA che gli utenti condividono con corrispondenze, rapporti di ascendenza, luoghi auto-riportati, luoghi di nascita degli antenati, cognomi, Immagini del profilo e altro ancora.
I restanti 1,4 milioni di utenti che hanno partecipato anche alla funzione DNA Relatives hanno avuto accesso ai propri profili dell’albero genealogico. Questa funzionalità include allo stesso modo nomi visualizzati, etichette di relazione, anno di nascita e luoghi auto-segnalati. Non include la percentuale di DNA condiviso con potenziali parenti sul sito o i segmenti di DNA corrispondenti.
23andMe dice è ancora in fase di notifica agli utenti interessati dalla violazione. Ha inoltre iniziato ad avvisare gli utenti di reimpostare le proprie password e ora richiede la verifica in due passaggi per gli utenti nuovi ed esistenti, che in precedenza era facoltativa.