Entre os dados roubados pelos hackers estão nome, relação de doenças e até árvore genealógica dos clientes de uma empresa de testes genéticos

A 23andMe, empresa especializada em testes genéticos, revelou recentemente que hackers obtiveram acesso aos dados pessoais de 0,1% de seus clientes – o que representa 14 mil pessoas. Inicialmente divulgado em outubro, o ataque cibernético impactou um total de 6,9 milhões de indivíduos.

Para quem tem pressa:

  • Hackers obtiveram acesso aos dados pessoais de 0,1% dos clientes da 23andMe, uma empresa especializada em testes genéticos, afetando aproximadamente 14 mil pessoas;
  • Além das contas individuais afetadas, os hackers acessaram informações de perfis de ancestralidade de outros usuários, impactando um total de 6,9 milhões de indivíduos;
  • Informações pessoais de cerca de 5,5 milhões de usuários do recurso DNA Relatives, incluindo nomes, anos de nascimento, relações familiares, percentuais de DNA compartilhado e localizações, foram acessadas, além de dados de perfis na Árvore Genealógica de aproximadamente 1,4 milhão de usuários;

Isso porque os hackers também acessaram informações de perfis de ancestralidade de um número significativo de outros usuários da empresa, que vende kits para clientes descobrirem sua ancestralidade a partir de um teste rápido feito por saliva.

Acesso dos hackers

Propaganda de testes genéticos da 23andMe

Katie Watson, porta-voz da 23andMe, confirmou ao TechCrunch que cerca de 5,5 milhões de pessoas que utilizaram o recurso DNA Relatives da empresa tiveram suas informações pessoais acessadas. Os dados incluíam nomes, anos de nascimento, relações familiares, percentuais de DNA compartilhado, relatórios de ancestralidade e localizações auto-relatadas.

Outro grupo de aproximadamente 1,4 milhão de usuários que optaram pelo DNA Relatives tiveram informações de seus perfis na Árvore Genealógica acessadas, incluindo nomes de exibição, rótulos de relacionamento, ano de nascimento e localização auto-relatada.

A 23andMe não divulgou inicialmente esses números em seu comunicado e não se sabe a razão para essa omissão. Considerando os novos dados, o ataque afetou aproximadamente metade dos 14 milhões de clientes relatados pela 23andMe.

Em outubro, um hacker alegou ter roubado informações de DNA de usuários da 23andMe, publicando dados de um milhão de usuários de ascendência judaica Ashkenazi e 100 mil chineses, e depois anunciando mais quatro milhões de registros.

O TechCrunch descobriu que outro hacker já havia anunciado dados supostamente roubados da 23andMe meses antes. Uma análise dos dados vazados revelou que alguns registros correspondiam a dados genéticos publicados online, indicando que os dados eram autênticos.

A 23andMe atribuiu o ataque à reutilização de senhas por parte de seus clientes, o que permitiu aos hackers forçar seu acesso às contas usando senhas conhecidas divulgadas em outros ataques de dados. Devido à natureza do recurso DNA Relatives, ao hackear uma conta, os hackers conseguiram acessar os dados pessoais tanto do titular da conta quanto de seus parentes, ampliando o impacto do ataque.

Texto: Pedro Spadoni