A empresa de testes de DNA 23andMe responsabiliza seus usuários pelo vazamento de informações de 6,9 milhões de contas.
A declaração foi feita por meio de uma carta enviada aos clientes que estão processando a 23andMe.
Na carta, a empresa afirma que o ataque ocorreu porque os usuários afetados usavam as mesmas credenciais do 23andMe em outros serviços que foram hackeados.
O ataque ao sistema da empresa ocorreu em outubro do ano passado.
Os hackers roubaram dados pessoais e confidenciais (aqui estou usando a definição da LGPD), que incluem, por exemplo, informações como fenótipos, origem estimada (a possível etnia com base no DNA) e dados de saúde.
As informações foram postadas em fóruns hackers.
23andMe culpa usuários por vazamento de informações
Para a 23andMe, a culpa pelo vazamento de informações é dos clientes que reutilizaram senhas e emails que foram divulgados após ataques a outros serviços.
Na carta, a empresa, por meio de seus advogados, reitera o que já havia dito em outubro: não houve invasão ao seu sistema, mas um enchimento de credenciais, um termo em inglês para a técnica de usar informações já vazadas para invadir contas em outras plataformas.
Por exemplo, em 2017 tivemos o caso de vazamento de contas e senhas do extinto Legendas[.]tv.
Se um usuário com uma conta neste site usasse a mesma senha e email para outro serviço, um hacker pode tentar roubar os dados dos usuários apenas reutilizando essas informações.
A 23andMe, ao saber dos roubos, resetou a senha de seus clientes.
Na mesma época, a empresa reforçou que os usuários deveriam ativar a autenticação em duas etapas (2FA) para acessar suas contas.
Hoje, o uso do 2FA é obrigatório.
Segundo a investigação da 23andMe, os hackers conseguiram os dados desses 6,9 milhões de usuários ao acessar apenas 14 mil contas.
Isso foi possível devido ao recurso opcional DNA Relatives, que permite ao usuário compartilhar seus dados com possíveis parentes - afinal, o charme de 23andMe, Genera e similares é justamente descobrir parentes distantes... ou que você foi trocado na maternidade com mais duas crianças.
O DNA Relatives permite ao usuário escolher o que vai compartilhar, como nome completo, possível ancestralidade (etnia) e árvore genealógica.
No entanto, parece que mais de 6,8 milhões de contas optaram por compartilhar praticamente tudo, o que fez com que "apenas" 14 mil contas invadidas fossem suficientes para resultar em quase 7 milhões de contas roubadas.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...