Una patata caliente: En diciembre, 23andMe confirmó una problemática violación de seguridad que afectó a alrededor de 7 millones de usuarios. Ahora, la empresa de pruebas genéticas dice que los usuarios son responsables del incidente debido a la reutilización de contraseñas. Obviamente, las acusaciones no sientan bien a los afectados.
Clientes impactados por el 2023 Filtración de datos están demandando a 23andMe en masa, con más de 30 demandas presentadas, incluidas demandas colectivas y demandas de arbitraje masivo. En diciembre, la compañía informó que atacantes desconocidos accedieron directamente a 14.000 cuentas de usuario, forzando las contraseñas de las cuentas con una técnica conocida como relleno de credenciales.
Comprometer estas primeras cuentas dio a los ciberdelincuentes un acceso más profundo a la red 23andMe a través de su función «DNA Relatives». DNA Relatives es un programa opcional que permite a los usuarios de 23andMe compartir automáticamente información personal limitada con otros clientes que puedan estar relacionados con ellos. Así, con sólo unas pocas cuentas comprometidas, los piratas informáticos obtuvieron acceso a los datos personales de otras 6,9 millones de personas.
TechCrunch obtuvo una carta indicando que la empresa de genómica personal se está poniendo en contacto con algunas víctimas de violación de datos para decirles que ellos solo pueden culparse. Él reclamos que los usuarios que intentaron demandar a 23andMe utilizaron credenciales de inicio de sesión recicladas. El reciclaje de credenciales se produce cuando alguien utiliza el mismo nombre de usuario y contraseña en varios sitios web en línea.
La compañía sostiene que el incidente no fue el resultado de su «supuesta» falta de mantener medidas de seguridad razonables, sino de que los piratas informáticos obtuvieron credenciales reutilizadas a través de sitios web de terceros. Por tanto, las acciones legales contra la empresa carecen de fundamento.
Hassan Zavareei, uno de los abogados que demanda a 23andMe, señala que la empresa está intentando descaradamente restar importancia a la gravedad del incidente. Zavareei calificó el intento de señalar con el dedo a 23andMe como «absurdo» porque el reciclaje de credenciales es lo suficientemente común como para tener contingencias al respecto. Sostiene que 23andMe debería haber implementado medidas de seguridad más sólidas, especialmente considerando que almacena y administra «información de identificación personal», datos genéticos y de salud. Zavareei agregó que la violación afectó a millones porque la función DNA Relatives era insegura, no porque los usuarios estuvieran reciclando contraseñas.
Los abogados de 23andMe afirmaron además que los datos a los que «potencialmente» accedieron los ciberdelincuentes no podían usarse para ningún daño «pecuniario», ya que no incluían números de seguro social, números de licencia de conducir ni ningún pago o información financiera.