A 23andMe confirmou que está ciente de dados de usuário de sua plataforma circulando em fóruns de hackers e atribui o vazamento a um ataque de reutilização de credenciais.
23andMe é uma empresa de biotecnologia e genômica dos EUA que oferece serviços de teste genético para clientes que enviam uma amostra de saliva para seus laboratórios e recebem um relatório de ancestralidade e predisposições genéticas.
Recentemente, um ator de ameaças vazou amostras de dados supostamente roubados de uma empresa de genética e, alguns dias depois, ofereceu para vender pacotes de dados pertencentes a clientes da 23andMe.
O vazamento inicial de dados foi limitado, com o ator da ameaça lançando 1 milhão de linhas de dados para pessoas Ashkenazi.
No entanto, em 4 de outubro, o ator da ameaça ofereceu vender perfis de dados em massa por $1-$10 por conta da 23andMe, dependendo de quantas foram compradas.
Um porta-voz da 23andMe confirmou que os dados são legítimos e disse ao BleepingComputer que os atores da ameaça usaram credenciais expostas de outras violações para acessar contas da 23andMe e roubar os dados sensíveis.
"Fomos informados de que certas informações de perfil de cliente da 23andMe foram compiladas através do acesso a contas individuais em 23andMe[.]com", declarou o porta-voz da 23andMe.
"Não temos nenhuma indicação neste momento de que houve um incidente de segurança de dados em nossos sistemas".
"Pelo contrário, os resultados preliminares dessa investigação sugerem que as credenciais de login usadas nessas tentativas de acesso podem ter sido coletadas por um ator de ameaça a partir de dados vazados durante incidentes envolvendo outras plataformas online onde os usuários reutilizaram credenciais de login".
As informações que foram expostas neste incidente incluem nomes completos, nomes de usuários, fotos de perfil, sexo, data de nascimento, resultados de ancestralidade genética e localização geográfica.
BleepingComputer também soube que o número de contas vendidas pelo cibercriminoso não reflete o número de contas da 23andMe violadas usando credenciais expostas.
As contas comprometidas haviam optado pelo recurso da plataforma 'DNA Relatives', que permite aos usuários encontrar parentes genéticos e se conectar com eles.
O ator da ameaça acessou um pequeno número de contas da 23andMe e então raspou os dados de suas correspondências de DNA Relative, o que mostra como optar por um recurso pode ter consequências inesperadas de privacidade.
23andMe informou que a plataforma oferece autenticação de dois fatores como medida de proteção adicional à conta e incentiva todos os usuários a ativá-la.
Os usuários devem evitar reutilizar senhas e empregar consistentemente credenciais fortes e distintas para cada conta online que possuem.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...