23andMe ha confermato l’accesso non autorizzato ad alcuni account degli utenti. L’azienda californiana, che permette di effettuare un test genetico tramite campione di saliva, afferma che non c’è stato nessun attacco informatico. I cybercriminali hanno utilizzato credenziali riciclate. I dati sono in vendita sul famigerato BreachForums.
Circa 1,3 milioni di dati in vendita
All’inizio del mese, un utente di BreachForums ha caricato circa un milione di dati di ebrei aschenaziti. Due giorni dopo, il database è stato messo in vendita a partire da 1.000 dollari per 100 account e fino a 100.000 dollari per 100.000 account. Secondo The Record è in vendita anche un altro database con gli account di circa 300.000 utenti di etnia cinese.
I dati includono foto del profilo, nome, sesso, anno di nascita, aplogruppi materni e paterni, risultati del patrimonio ancestrale e posizione geografica. 23andMe ha comunicato che le informazioni riguardano gli utenti che utilizzano la funzionalità DNA Relatives. Quest’ultima permette di trovare eventuali corrispondenze genetiche, rendendo visibili agli altri alcune informazioni.
In base alle prime indagini effettuate dall’azienda, i cybercriminali hanno utilizzato credenziali riciclate, ovvero username e password che gli utenti usano anche su altri siti web (precedentemente compromessi). In pratica è un comune attacco di credential stuffing. Non c’è stata quindi un’intrusione tramite vulnerabilità o attacco diretto ai sistemi interni.
23andMe consiglia di utilizzare password più robuste e soprattutto uniche (solo per un account). Gli utenti dovrebbero inoltre attivare l’autenticazione multi-fattore disponibile dal 2019. L’indagine proseguirà nei prossimi giorni, quindi verranno forniti ulteriori dettagli.