23andMe ha svelato nuovi dettagli sull’intrusione scoperta all’inizio di ottobre 2023. Nella comunicazione inviata al Procuratore Generale della California, l’azienda ha confermato che i cybercriminali hanno mantenuto l’accesso ai suoi sistemi dal 29 aprile al 27 settembre 2023, quindi non è stato rilevato per quasi 5 mesi.
Nuovi preoccupanti dettagli
L’attacco è stato rivelato da 23andMe all’inizio di ottobre 2023. Utilizzando la tecnica nota come credential stuffing (credenziali pubblicate online e usate dagli utenti su altri servizi), i cybercriminali hanno effettuato l’accesso agli account e sottratto i dati di circa 6,9 milioni di persone attraverso le funzionalità DNA Relatives e Family Tree.
L’azienda californiana aveva scoperto il 1 ottobre 2023 che alcuni dati erano stati pubblicati su un subreddit non ufficiale di 23andMe e sul famigerato BreachForums. In realtà, come riporta TechCrunch, le informazioni era state messe in vendita su altro noto forum (Hydra) ad agosto 2023.
Dopo aver ottenuto l’accesso a circa 14.000 account, i cybercriminali hanno rubato i dati di 6,9 milioni di utenti: 5,4 milioni tramite DNA Relatives e 1,4 milioni tramite Family Tree. Il 10 ottobre, 23andMe ha chiesto agli utenti di resettare le password, mentre il 6 novembre di attivare l’autenticazione in due fattori.
L’azienda ha scaricato la colpa dell’intrusione sugli utenti, in quanto hanno usato le stesse credenziali di login di altri servizi che hanno subito un data breach. La comunicazione inviata al Procuratore Generale della California conferma però che l’accesso è stato rilevato con almeno 5 mesi di ritardo.
In seguito alle numerose denunce ricevute per grave violazione della privacy, 23andMe ha modificato i termini del servizio a fine novembre 2023, aggiungendo l’uso obbligatorio dell’arbitrario e la rinuncia alle azioni collettive (class action).
Aggiornamento (19/09/2024): 23andMe ha accettato di pagare 30 milioni di dollari per evitare una class action.