A provedora de testes genéticos 23andMe confirmou que hackers roubaram relatórios de saúde e dados brutos de genótipo de clientes afetados por um ataque de preenchimento de credenciais que passou despercebido por cinco meses, de 29 de abril a 27 de setembro.
As credenciais usadas pelos invasores para violar as contas dos clientes foram roubadas em outros vazamentos de dados ou usadas em plataformas online previamente comprometidas.
Conforme a empresa de genômica e biotecnologia divulgou nas cartas de notificação de violação de dados enviadas aos afetados no incidente, alguns dos dados roubados foram postados no fórum de hacking BreachForums e no site não oficial subreddit 23andMe.
As informações vazadas incluem os dados de 1 milhão de judeus asquenazes e 4,1 milhões de pessoas que vivem no Reino Unido.
"Nossa investigação determinou que o invasor baixou ou acessou seus dados brutos de genótipo ininterruptos e pode ter acessado outras informações sensíveis em sua conta, como certos relatórios de saúde derivados do processamento de suas informações genéticas, incluindo relatórios de predisposição à saúde, relatórios de bem-estar e relatórios de status de portador ", revelou a 23andMe.
"A medida que sua conta continha tais informações, o invasor pode ter também acessado informações auto-relatadas de condições de saúde e informações em suas configurações."
Para os clientes que também usaram o recurso DNA Relatives da 23andMe, é possível que os invasores também tenham raspado suas informações de perfil do DNA Relatives e Family Tree.
Eles também podem ter obtido visibilidade das seguintes informações dos clientes afetados se compartilhadas via recurso DNA Relatives:
Relatórios de ancestralidade e segmentos de DNA correspondentes (especificamente onde em seus cromossomos você e seu parente tinham DNA correspondente),
Localização auto-relatada (cidade / CEP),
Locais de nascimento de ancestrais e nomes de família,
Foto do perfil, ano de nascimento e qualquer outra coisa incluída na seção "Apresente-se" de seu perfil.
A 23andMe informou ao BleepingComputer em dezembro que os hackers baixaram os dados de 6,9 milhões de pessoas dos 14 milhões de clientes existentes após violarem cerca de 14.000 contas de usuário.
5,5 milhões de indivíduos tiveram seus dados raspados através do recurso DNA Relatives e 1,4 milhão via o recurso Family Tree.
Em 10 de outubro, cerca de uma semana após detectar o ataque, a 23andMe começou a exigir que todos os clientes redefinissem suas senhas.
Desde 6 de novembro, todos os novos e atuais clientes devem usar a autenticação em duas etapas ao fazer login em suas contas para bloquear futuras tentativas de preenchimento de credenciais.
O incidente do ano passado também resultou em múltiplas ações judiciais contra a 23andMe, fazendo com que a empresa atualizasse seus Termos de Uso em 30 de novembro com disposições que dificultam a adesão dos clientes a ações coletivas contra a 23andMe.
"Até o limite máximo permitido pela lei aplicável, você e nós concordamos que cada parte pode mover ações judiciais contra a outra parte apenas individualmente e não como uma ação coletiva ou ação coletiva ou arbitragem coletiva", diz uma das atualizações.
No entanto, a 23andMe disse que essas mudanças foram adicionadas para tornar o processo de arbitragem mais eficiente e fácil para os clientes entenderem.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...