A empresa de testes genéticos 23andMe comunicou que enfrentou um ciberataque, onde hackers conseguiram invadir seu banco de dados, comprometendo informações de aproximadamente 14 mil clientes. O incidente, que levanta preocupações sobre a segurança dos dados pessoais, ganhou destaque, especialmente pela natureza sensível das informações envolvidas.
A companhia revelou que os invasores conseguiram acessar não apenas dados básicos, mas também informações mais detalhadas sobre a ascendência de outros usuários.
Embora não tenha fornecido um número exato sobre quantos usuários foram impactados por essa violação, a porta-voz da 23andMe, Katie Watson, confirmou que os hackers obtiveram acesso às informações pessoais de cerca de 5,5 milhões de pessoas que participavam do recurso DNA Relatives.
O DNA Relatives é uma funcionalidade que permite aos clientes compartilhar automaticamente alguns de seus dados genéticos com outras pessoas, geralmente familiares.
Ao site TechCrunch, a empresa admitiu que os dados roubados incluem nome da pessoa, ano de nascimento, status de relacionamento, porcentagem de DNA compartilhado com parentes, relatórios de ancestralidade e a localização autodeclarada.
Além disso, um outro grupo composto por cerca de 1,4 milhão de usuários que também optaram pelo DNA Relatives teve suas informações de perfil genealógico expostas. Isso amplia ainda mais a extensão do vazamento, atingindo aproximadamente metade dos sete milhões de clientes da 23andMe.
Como os hackers agiam
A violação dos dados começou a ser noticiada em outubro, quando um hacker afirmou ter obtido informações genéticas de clientes da 23andMe e tentou vendê-las. Na época, como prova da invasão, o hacker publicou dados de um milhão de usuários de ascendência judaica Ashkenazi e 100 mil usuários chineses.
A 23andMe, ao comentar sobre o incidente, explicou que a vulnerabilidade foi provocada devido à reutilização de senhas pelos clientes. Essa prática permitiu que os hackers realizassem ataques de força bruta nas contas das vítimas.
O recurso DNA Relatives, ao combinar usuários com seus parentes, potencializou o impacto, uma vez que, invadindo uma conta individual, os hackers conseguiram acessar dados pessoais tanto do titular da conta quanto de seus parentes, ampliando assim o número total de vítimas.
A empresa, atualmente, está focada em resolver as consequências dessa brecha de segurança e, mais importante, em fortalecer seus protocolos de segurança para evitar incidentes semelhantes no futuro, em um esforço para reconquistar a confiança dos clientes afetados e daqueles que podem hesitar em utilizar seus serviços de testes genéticos no futuro.