En una nueva presentación ante la Comisión de Bolsa y Valores de EE. UU. Publicado el viernes, la compañía dijo que, basándose en su investigación del incidente, determinó que los piratas informáticos habían accedido al 0,1% de su base de clientes. Según el último informe anual de resultados de la empresa23andMe tiene “más de 14 millones de clientes en todo el mundo”, lo que significa que el 0,1% son aproximadamente 14.000.
Pero la compañía también dijo que al acceder a estas cuentas, los piratas informáticos también pudieron acceder a «una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios que estos usuarios eligieron compartir al optar por la función Familiares de ADN de 23andMe».
La empresa no especificó cuál es este «número significativo» de archivos, ni cuántos de estos «otros usuarios» se vieron afectados.
23andMe no respondió de inmediato a una solicitud de comentarios, que incluía preguntas sobre estos números.
A principios de octubre, 23andMe reveló un incidente en el que los piratas informáticos robaron datos de algunos usuarios utilizando una técnica común conocida como «relleno de credenciales», en la que los ciberdelincuentes irrumpen en la cuenta de una víctima utilizando una contraseña conocida, tal vez filtrada debido a una violación de datos en otra. servicio.
El daño, sin embargo, no se limitó a los clientes a quienes se accedió a sus cuentas. 23andMe permite a los usuarios optar por una función llamada parientes de ADN. Si un usuario opta por esta función, 23andMe compartirá parte de la información de ese usuario con otros. Esto significa que al acceder a la cuenta de una víctima, los piratas informáticos también podían ver los datos personales de las personas conectadas a esa víctima inicial.
23andMe dijo en el documento que para los 14.000 usuarios iniciales, los datos robados «a menudo incluían información de ascendencia y, para un subconjunto de estas cuentas, información relacionada con la salud basada en la genética del usuario». Para el otro subconjunto de usuarios, 23andMe solo dijo que los piratas informáticos robaron “información de perfil” y luego publicaron “cierta información” no especificada en línea.
TechCrunch analizó los conjuntos de datos robados publicados, comparándolos con registros genealógicos públicos conocidos, incluidos sitios web publicados por aficionados y genealogistas. Aunque los conjuntos de datos tenían un formato diferente, contenían parte de la misma información genética y de usuario única que coincidía con los registros genealógicos publicados en línea años antes.
El propietario de un sitio web de genealogía, cuya información de sus familiares quedó expuesta en la violación de datos de 23andMe, dijo a TechCrunch que descubrieron alrededor de 5.000 familiares a través de 23andMe, y afirmó que nuestras «correlaciones pueden tener esto en cuenta».
Noticias sobre violación de datos apareció en línea en octubre, cuando los piratas informáticos anunciaron los supuestos datos de un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos en un conocido foro de piratas informáticos. Aproximadamente dos semanas después, el mismo hacker que anunció los datos iniciales de usuario robados anunció los supuestos registros de cuatro millones de personas más. El hacker intentaba vender los datos de las víctimas individuales por entre 1 y 10 dólares.
TechCrunch descubrió que otro hacker en un foro de piratería diferente había anunciado aún más datos de usuarios supuestamente robados dos meses antes del anuncio que fue informado inicialmente por los medios de comunicación en octubre. En ese primer anuncio, el hacker afirmó que le habían robado 300 terabytes de datos de usuario de 23andMe y pidió 50 millones de dólares para vender toda la base de datos, o entre 1.000 y 10.000 dólares por un subconjunto de los datos.
En respuesta a la violación de datos, el 10 de octubre, 23andMe obligó a los usuarios a restablecer y cambiar sus contraseñas y los animó a activar la autenticación multifactor. Y el 6 de noviembre, la empresa exigió a todos los usuarios que utilizaran la verificación en dos pasos, según el nuevo documento.
Después de la violación de 23andMe, otras empresas de pruebas de ADN, Ancestry y MyHeritage, comenzaron a exigir la autenticación de dos factores.
