En una carta de notificación de violación de datos presentada ante los reguladores este fin de semana, 23andMe reveló que los piratas informáticos comenzaron a irrumpir en las cuentas de los clientes en abril de 2023 y continuaron durante la mayor parte de septiembre.
En otras palabras, durante unos cinco meses, 23andMe no detectó una serie de ataques cibernéticos en los que los piratas informáticos intentaban (y a menudo conseguían) acceder por fuerza bruta a las cuentas de los clientes. según una presentación legalmente requerida que 23andMe envió al fiscal general de California.
Meses después de que los piratas informáticos comenzaran a atacar a los clientes de 23andMe, la compañía reveló que Los piratas informáticos habían robado los datos genéticos y de ascendencia de 6,9 millones de usuarios.o aproximadamente la mitad de sus clientes.
Según la empresa, 23andMe tuvo conocimiento de la infracción en octubre cuando Los piratas informáticos anunciaron los datos robados. en publicaciones publicadas en el subreddit no oficial 23andMe y por separado en un famoso foro de piratería. 23andMe tampoco se dio cuenta de que los piratas informáticos anunciaron los datos robados en otro foro de piratería meses antes, en agosto. como informó TechCrunch.
Contáctenos
¿Tienes más información sobre este truco? Nos encantaría saber de usted. Desde un dispositivo que no sea del trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o mediante Telegram, Keybase y Wire @lorenzofb, o por correo electrónico lorenzo@techcrunch.com. También puede ponerse en contacto con TechCrunch a través de caída segura.
Como admitió más tarde 23andMe, los piratas informáticos pudieron acceder a las cuentas de alrededor de 14.000 clientes mediante fuerza bruta en cuentas que utilizaban contraseñas ya hechas públicas y asociadas con direcciones de correo electrónico de otras infracciones. Con acceso a esas cuentas, los piratas informáticos robaron datos de 6,9 millones de clientes a través del Familiares de ADN función, que permite a los clientes compartir automáticamente algunos de sus datos con otras personas que 23andMe clasifica como familiares. Los datos robados incluían el nombre de la persona, el año de nacimiento, las etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y la ubicación autoinformada.
Los portavoces de 23andMe no respondieron de inmediato a la solicitud de comentarios de TechCrunch, que incluía preguntas sobre cómo la violación pasó desapercibida durante tanto tiempo.
Después de que se notificó a los clientes que eran víctimas de la infracción, varias víctimas presentaron demandas colectivas contra 23andMe en los EE. UU. y Canadá, a pesar de que La empresa intentó dificultar que las víctimas se unieran en acciones legales cambiando sus términos de servicio.. Los abogados de violación de datos calificaron los cambios en los términos de servicio como “cínicos”, “interesados” y “un intento desesperado” de proteger a 23andMe contra sus propios clientes.
En una de las demandas, 23andMe respondió culpar a los usuarios por supuestamente utilizar contraseñas reutilizadas.
«Los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe». 23andMe afirmó en una carta violar a las víctimas. «El incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe».