All’inizio di ottobre, 23andMe ha confermato l’accesso non autorizzato ai suoi sistemi. Recentemente ha comunicato che gli account interessati sono circa 6,9 milioni. L’azienda californiana ha ora specificato che l’intrusione è avvenuta per la negligenza degli utenti che hanno riciclato la password.
23andMe scarica la colpa sugli utenti
Ignoti cybercriminali hanno utilizzato le credenziali ottenute con attacchi contro altri servizi per accedere agli account degli utenti (la tecnica è nota come credential stuffing). Questi ultimi hanno usato la stessa password per la registrazione. L’intrusione ha interessato circa 14.000 account, ma sono stati rubati i dati di circa 6,9 milioni di persone attraverso la funzionalità DNA Relatives.
Essendo una grave violazione della privacy, 23andMe ha già ricevuto oltre 30 denunce. In risposta ad un gruppo di utenti, lo studio legale dell’azienda di San Francisco ha sottolineato che non è avvenuto nessun data breach, ovvero nessuna intrusione dovuta a vulnerabilità o attacco diretto ai sistemi interni.
Come specificato nel post del 6 ottobre 2023, gli utenti hanno effettuato la registrazione con le stesse credenziali (username e password) usate in altri servizi o siti web che hanno subito un data breach. Gli utenti sono stati negligenti perché hanno riciclato la password. Gli avvocati di 23andme suggeriscono quindi di non proseguire nell’inutile azione legale.
Nella lettera viene inoltre evidenziato che i dati rubati non possono essere utilizzati per infliggere danni monetari. In ogni caso, 23andMe ha resettato tutte le password e imposto l’attivazione dell’autenticazione a due fattori. Secondo un avvocato che rappresenta le vittime, l’azienda californiana cerca di minimizzare l’accaduto scaricando la colpa sugli utenti.
I nuovi termini del servizio, in vigore dal 30 novembre, prevedono l’uso obbligatorio dell’arbitrario e la rinuncia alle azioni collettive (class action). Diversi esperti hanno dichiarato che queste modifiche non serviranno a nulla in tribunale.