¡¿Qué carajo?! Parece que las empresas que son infiltradas por piratas informáticos y no se enteran durante meses se están convirtiendo en algo común en el mundo de la tecnología. Después de Microsoft y HPE, el proveedor de pruebas genéticas 23andMe ha confirmado que la intrusión que sufrió el año pasado y que provocó el robo de datos de millones de clientes pasó desapercibida durante cinco meses.
En su preceptivo aviso de incumplimiento carta Presentado ante el fiscal general de California, 23andMe confirmó que los piratas informáticos comenzaron a violar las cuentas de los clientes el 29 de abril de 2023 y continuaron haciéndolo hasta el 27 de septiembre. Los ciberdelincuentes pasaron cinco meses forzando cuentas de clientes con fuerza bruta utilizando contraseñas y direcciones de correo electrónico filtradas en otras violaciones (relleno de credenciales). ), todo ello sin que la empresa detectara lo que estaba pasando.
En diciembre, la presentación de 23andMe ante la Comisión de Bolsa y Valores reveló que los piratas informáticos accedieron a la información personal de 14.000 personas. Eso es solo el 0,1% de sus clientes, pero piratear estas cuentas también permitió a los delincuentes acceder a archivos que contienen información de perfil de otros usuarios a través de DNA Relatives del sitio, una característica opcional que permite que algunos datos de los clientes se compartan automáticamente con otros que 23andMe cree que pueden ser sus familiares.
A un total de 6,9 millones de personas, o aproximadamente la mitad de los clientes de la empresa, les robaron sus datos. La información robada incluía nombre, año de nacimiento, foto de perfil, etiquetas de relación, porcentaje de ADN compartido con familiares, informes de ascendencia y ubicación autoinformada.
23andMe dice que también se puede haber accedido a ciertos informes de salud derivados del procesamiento de información genética, incluidos informes de predisposición a la salud, informes de bienestar e informes de estado de portador, junto con información sobre el estado de salud autoinformada y la información en los entornos.
23andMe recién se dio cuenta de la violación en octubre cuando los piratas informáticos anunciaron los datos robados en un foro de piratería y en el subreddit no oficial de 23andMe. Los datos también se anunciaron en otro foro de piratería en agosto, pero la empresa no se dio cuenta.
El incidente dio lugar a que se presentaran más de 30 demandas contra 23andMe por supuestamente no mantener medidas de seguridad razonables. Su respuesta única a estas acciones legales fue culpar a los clientes por reutilizar credenciales antiguas que apareció en filtraciones. Así que básicamente fue su culpa. La firma agregó que como la información robada no incluía números de seguro social, números de licencia de conducir ni ningún pago o información financiera, no podía usarse para causar ningún daño «pecuniario».
A principios de esta semana, HPE dijo que el grupo de piratería ruso Cozy Bear había accedido y exfiltrado datos de su entorno de correo electrónico basado en la nube durante meses sin que la empresa lo detecte. el mismo grupo también golpeó Red de correo electrónico corporativo de Microsoft durante un mes en noviembre de 2023.