A 23andMe, companhia especializada em exames genéticos, divulgou recentemente que invasores conseguiram acesso às informações pessoais de 0,1% de seus clientes - o equivalente a 14 mil indivíduos.
Revelado inicialmente em outubro, o ataque cibernético afetou um total de 6,9 milhões de pessoas.
Isto porque os invasores também conseguiram acesso à informações das linhagens ancestrais de um número expressivo de outros clientes da empresa, que comercializa kits para que seus clientes descubram suas ancestralidades através de um rápido teste de saliva.
Katie Watson, porta-voz da 23andMe, confirmou ao TechCrunch que aproximadamente 5,5 milhões de indivíduos que utilizaram a ferramenta DNA Relatives da empresa tiveram suas informações pessoais acessadas.
Estas informações abrangem nomes, anos de nascimento, relações familiares, percentuais de DNA compartilhados, relatórios de linhagem e localizações de autodeclaração.
Outro grupo de cerca de 1,4 milhão de usuários que optaram pelo DNA Relatives tiveram informações de seus perfis na Árvore Genealógica invadidos, incluindo nomes de exibição, rótulos de relacionamento, ano de nascimento e localização de autodeclaração.
A 23andMe não divulgou inicialmente estes dados em suas declarações e o motivo para essa omissão não é conhecido.
Considerando as novas informações, o ataque afetou aproximadamente metade dos 14 milhões de clientes relatados pela 23andMe.
Em outubro, um invasor alegou ter roubado informações de DNA de clientes da 23andMe, publicando dados de um milhão de usuários de ascendência judaica Ashkenazi e 100 mil chineses, e posteriormente anunciando mais quatro milhões de registros.
O TechCrunch descobriu que outro invasor já havia anunciado dados supostamente roubados da 23andMe meses antes.
Uma análise dos dados vazados revelou que alguns registros correspondiam a dados genéticos publicados online, sugerindo que os dados eram reais.
A 23andMe atribuiu o ataque à reutilização de senhas por parte de seus clientes, que permitiu aos invasores forçar o acesso às contas usando senhas conhecidas reveladas em outros ataques de dados.
Devido à natureza da ferramenta DNA Relatives, ao invadir uma conta, os invasores conseguiram acesso às informações pessoais tanto do titular da conta quanto de seus parentes, ampliando o impacto do ataque.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...