Dati genetici, un’enorme violazione si allarga sempre di più

Stanno emergendo ulteriori dettagli sulla violazione che il colosso statunitense dei test genetici 23andMe ha denunciato per la prima volta a ottobre. Le nuove informazioni condivise dalla società rendono ancora più confuso il quadro intorno all’incidente e aumentano l’incertezza per gli utenti coinvolti.

L’entità della violazione

All’inizio di ottobre 23andMe aveva reso noto che dei cybercriminali si erano infiltrati negli account di alcuni utenti per ottenere i dati personali di un gruppo più ampio di persone attraverso Dna Relatives, una funzione facoltativa che consente di trovare e mettersi in contatto con i propri parenti. All’epoca l’azienda non aveva indicato quanti utenti fossero stati colpiti dalla violazione, ma su alcuni forum criminali gli aggressori avevano già iniziato a vendere dati che sembravano essere stati rubati a almeno un milione di utenti di 23andMe. In un recente documento della Securities and exchange commission – l’ente che negli Stati Uniti vigila sulla borsa –, la società ha dichiarato che “l’attore dietro alla minaccia è stato in grado di accedere a una percentuale molto piccola (0,1%) degli account degli utenti”. Considerando che 23andMe ha da poco stimato di avere più di 14 milioni di clienti, le persone interessate dall’attacco sarebbero circa 14mila.

Si tratta di un numero già di per sé consistente, che però non tiene conto degli utenti colpiti dalla violazione di Dna Relatives. Il documento della Sec si limita a segnalare che l’incidente ha coinvolto anche “un numero significativo di file contenenti informazioni sul profilo di altri utenti.

Lunedì 4 dicembre 23andMe ha poi confermato al sito TechCrunch che gli aggressori hanno messo le mani sui dati personali di circa 5,5 milioni di persone che avevano attivato Dna Relatives, oltre alle informazioni relative all’albero genealogico di altri 1,4 milioni di utenti della funzione.

Al primo gruppo di persone, i cybercriminali hanno rubato dati come i nomi visualizzati sul servizio, il login più recente e la percentuale di Dna condivisa sul servizio. In alcuni casi sono state compromesse anche altre informazioni, tra cui quelle relative agli antenati, posizione, luogo di nascita degli antenati, cognomi, immagini del profilo, anno di nascita e link agli alberi genealogici. Del secondo gruppo da 1,4 milioni di utenti di Dna Relatives invece è stato compromesso il profilo specifico noto come Family Tree.

Come è avvenuto l’attacco

23andMe ha riportato che gli aggressori hanno utilizzato una tecnica nota come **credential stuffing **per compromettere i 14mila account utente, trovando dei casi in cui le credenziali di accesso trapelate da altri servizi erano state riutilizzate su 23andMe. A seguito dell’incidente, l’azienda ha imposto a tutti i suoi utenti di reimpostare le password e ha iniziato a rendere obbligatoria l’autenticazione a due fattori per tutti i clienti. Nelle settimane successive alla divulgazione della violazione da parte di 23andMe, anche altri servizi simili, tra cui Ancestry e MyHeritage, hanno iniziato a promuovere o a richiedere l’autenticazione a due fattori.

Fonte : Wired