Una recente violazione dei sistemi di 23andMe ha consentito, a chi ha eseguito l’attacco, di accedere ai dati appartenenti a un numero non indifferente di clienti. Stando a quanto si legge in un documento depositato oltreoceano nei giorni scorsi presso la SEC (Securities and Exchange Commission), ad essere colpito è stato circa lo 0,1% degli account. Calcolatrice alla mano, partendo dagli oltre 14 milioni di utenti citati nei dati finanziari più recenti, si tratta di circa 14.000 iscritti.
Nuove informazioni sul furto dati di 23andMe
Non è tutto. Gli autori del data breach sono riusciti anche ad accedere a un numero significativo di file contenenti informazioni sui profili degli antenati di altri utenti che hanno scelto di condividerli attivando la funzionalità DNA Relatives
. La stima finale dell’impatto non è incoraggiante. Come riferito alla redazione di TechCrunch, ammonta a circa 6,9 milioni di persone.
In un post comparso nei giorni scorsi sul blog ufficiale, il team di 23andMe afferma di aver condotto un’indagine, con il supporto di esperti esterni, per chiarire quanto accaduto, iniziando ad avvisare coloro interessati dalla violazione, come imposto dalla legge. Ne riportiamo di seguito un estratto in forma tradotta.
Abbiamo attuato gli step necessari per proteggere ulteriormente i dati dei clienti, chiedendo a tutti, tra le altre cose, di reimpostare la propria password e richiedendo la verifica in due passaggi sia per gli account esistenti sia per quelli nuovi.
Cos’è e come funziona la funzionalità DNA Relatives? Si tratta di un programma opt-in, che richiede dunque l’esplicito consenso per la partecipazione. In breve, aderendo si accetta di condividere alcuni dettagli relativi al proprio profilo genetico con altri. Ne consegue che, effettuando l’accesso a uno degli account colpiti dal data breach, gli autori dell’attacco siano stati in grado di visualizzare anche quelle inerenti a clienti terzi.
Quali sono le informazioni esposte? In gran parte interessano gli antenati. In alcuni casi, invece, riguardano anche la salute.
In ottobre, subito dopo la violazione, il dataset è stato messo in vendita da più fonti su diversi forum frequentati da cybercriminali. In un’occasione, con prezzo compreso tra 1 e 10 dollari per i dettagli relativi a una singola vittima. In un’altra, chiedendo 50 milioni di dollari per un intero archivio dalle dimensioni dichiarate pari a 300 TB.