[ad_1]
La empresa de pruebas genéticas 23andMe anunció el viernes que los piratas informáticos accedieron a unas 14.000 cuentas de clientes en la última violación de datos de la empresa.
En una nueva presentación el viernes ante la Comisión de Bolsa y Valores de EE. UU., la compañía dijo que, basándose en su investigación sobre el incidente, determinó que los piratas informáticos habían accedido al 0,1% de su base de clientes. Según el informe anual de resultados más reciente de la empresa, 23andMe tiene «más de 14 millones de clientes en todo el mundo», lo que significa que el 0,1% son unos 14.000.
Sin embargo, la compañía también dijo que al acceder a esas cuentas, los piratas informáticos también pudieron acceder a «una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios, que esos usuarios compartieron cuando optaron por la función de parientes de ADN de 23andMe». .
La empresa no especificó cuál era este “número significativo” de archivos, ni cuántos de estos “otros usuarios” se vieron afectados.
23andMe no respondió de inmediato a una solicitud de comentarios sobre esos números.
A principios de octubre, 23andMe reveló un incidente en el que los piratas informáticos robaron los datos de algunos usuarios utilizando una técnica común llamada «relleno de credenciales». Esto implicó que los ciberdelincuentes piratearan la cuenta de una víctima utilizando una contraseña conocida que pudo haber sido filtrada debido a una violación de datos en otro servicio.
Sin embargo, el daño no terminó con los clientes a cuyas cuentas se accedió. 23andMe permite a los usuarios habilitar una función llamada DNA Relatives. Si un usuario elige utilizar esta función, 23andMe compartirá parte de la información de ese usuario con otros. Esto significa que al acceder a la cuenta de una víctima, los piratas informáticos también podrían ver la información personal de las personas asociadas con esa víctima original.
23andMe dijo en la presentación que los datos robados de los primeros 14.000 usuarios «generalmente incluían información de ascendencia y, para una parte de estas cuentas, información relacionada con la salud basada en la genética del usuario». Para el otro subconjunto de usuarios, 23andMe dijo sólo que los piratas informáticos robaron «información de perfil» y luego publicaron «cierta información» no especificada en línea.
TechCrunch analizó los registros robados publicados comparándolos con registros genealógicos públicos conocidos, incluidos sitios web publicados por investigadores y genealogistas aficionados. Aunque los registros tenían un formato diferente, contenían parte de la misma información genética y de usuario única que coincidía con los registros genealógicos publicados en línea hace años.
El propietario de un sitio web de genealogía que tenía algunos de los datos de sus familiares expuestos en la violación de datos de 23andMe le dijo a TechCrunch que alrededor de 5.000 familiares fueron descubiertos a través de 23andMe y dijo que nuestras «correlaciones pueden tener esto en cuenta».
La noticia de la violación de datos surgió en línea en octubre cuando los piratas informáticos anunciaron los supuestos datos de un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos en un popular foro de piratería. Aproximadamente dos semanas después, el mismo hacker que anunció los primeros datos de usuario robados filtró los supuestos registros de cuatro millones de personas más. El pirata informático intentó vender los datos de las víctimas individuales por entre 1 y 10 dólares.
TechCrunch descubrió que otro hacker había anunciado aún más datos de usuarios supuestamente robados en un foro de piratería diferente dos meses antes del anuncio, que fue informado por primera vez por los medios de comunicación en octubre. En ese primer anuncio, el hacker afirmaba tener 300 terabytes de datos de usuarios de 23andMe robados y exigía 50 millones de dólares para vender toda la base de datos o entre 1.000 y 10.000 dólares por una parte de los datos.
En respuesta a la violación de datos, 23andMe obligó a los usuarios a restablecer y cambiar sus contraseñas el 10 de octubre y les exigió que habilitaran la autenticación multifactor. Y el 6 de noviembre, la compañía comenzó a exigir a todos los usuarios que utilizaran la verificación en dos pasos, según el nuevo documento.
Después de la violación de 23andMe, otras empresas de pruebas de ADN, Ancestry y MyHeritage, comenzaron a exigir la autenticación de dos factores.
[ad_2]