23andMe ha recentemente rivelato una violazione dei dati in cui degli hacker hanno ottenuto l'accesso non autorizzato a circa 14.000 account clienti, che costituiscono lo 0,1% della sua vasta base clienti. Questodent, svelato all'inizio di ottobre, ha evidenziato lo sfruttamento di una tecnica nota come "dentstuffing", in cui gli hacker si infiltrano in un account utilizzando una password nota, potenzialmente trapelata da altre violazioni.
23andMe afferma che gli hacker hanno avuto accesso ai file sugli antenati degli utenti
I dati compromessi includevano informazioni genealogiche per i primi 14.000 utenti. Per un sottoinsieme di questi account, sono state esposte anche informazioni sanitarie basate sulla genetica degli utenti. Le implicazioni , tuttavia, si sono estese oltre i clienti direttamente interessati. Ciò è dovuto alla funzione "DNA Relatives" di 23andMe, che consente agli utenti di condividere informazioni specifiche con altri che hanno aderito alla funzione, creando una rete di profili interconnessi.
Di conseguenza, accedendo all'account di una vittima, gli hacker avrebbero potuto potenzialmente visualizzare i dati personali di individui collegati a quella vittima iniziale. Sebbene l'azienda non abbia fornito cifre precise oltre i 14.000 iniziali, ha riconosciuto che un "numero significativo" di file contenenti informazioni di profilo sugli antenati di altri utenti è stato compromesso. In particolare, 23andMe non ha risposto alle richieste di chiarimenti su queste cifre, lasciando gli utenti preoccupati circa la portata della violazione.
La violazione ha spinto 23andMe ad agire immediatamente, esortando gli utenti a reimpostare e modificare le proprie password. Inoltre, l'azienda ha sostenuto l'implementazione dell'autenticazione a più fattori, un passo fondamentale per migliorare la sicurezza. Entro il 6 novembre, l'azienda ha assunto una posizione più decisa, richiedendo a tutti gli utenti di utilizzare la verifica in due passaggi, rafforzando ulteriormente la protezione degli account utente. Un'analisi dei dati rubati, successivamente pubblicizzati su forum di hacking, ha indicato che includevano informazioni sull'ascendenza genetica degli utenti.
Ramificazioni dell'attacco e reazioni dell'industria
Alcuni set di dati corrispondevano a dettagli trovati in registri genealogici pubblici, il che suggerisce che le informazioni esposte potrebbero essere circolate online da anni. La situazione è stata aggravata dal tentativo di un hacker di vendere i presunti dati di milioni di utenti, a prezzi che andavano da 1 a 10 dollari a persona. La violazione è inizialmente giunta all'attenzione del pubblico quando gli hacker hanno pubblicizzato i dati di un milione di utenti di origine ebraica ashkenazita e di 100.000 utenti cinesi su un noto forum di hacking.
Successivamente, lo stesso hacker ha ampliato l'offerta per includere altri quattro milioni di record utente. È inquietante notare che un altro hacker, su un forum diverso, aveva precedentemente affermato di possedere ben 300 terabyte di dati utente rubati da 23andMe, chiedendo una somma significativa per l'intero database o offrendone in vendita solo alcuni sottoinsiemi. In risposta a questa diffusa esposizione di dati, le misure di sicurezza di 23andMe si sono evolute. Il ripristino forzato delle password e l'incentivazione dell'autenticazione a più fattori sono stati i primi passi per mitigare l'impatto della violazione.
La successiva implementazione obbligatoria della verifica in due passaggi mirava a migliorare la sicurezza degli utenti e a prevenire accessi non autorizzati. Le ripercussioni della violazione si sono estese oltre l'azienda stessa. In seguito, anche altre aziende di test del DNA, come Ancestry e MyHeritage, hanno adottato misure per rafforzare le proprie misure di sicurezza, imponendo l'autenticazione a due fattori per i propri utenti. Questo incidente dent evidenziato le crescenti sfide che le aziende devono affrontare quando trattano dati genetici e personali sensibili, sottolineando la necessità di solide misure di sicurezza informatica per proteggere le informazioni degli utenti da malintenzionati.
