Sommario
23andMe, un fornitore di test genetici, ha confermato che degli hacker hanno rubato rapporti di salute e dati genetici grezzi dei clienti, a seguito di un attacco di credential stuffing rimasto inosservato per cinque mesi, dal 29 aprile al 27 settembre.
Dettagli dell’Attacco e Dati Rubati
Le credenziali utilizzate dagli aggressori per violare gli account dei clienti sono state rubate in altre violazioni di dati o utilizzate su piattaforme online precedentemente compromesse. Come riportato da Matrice Digitale, parte dei dati rubati è stata pubblicata sul forum di hacking BreachForums e sul subreddit non ufficiale di 23andMe. Le informazioni trapelate includono i dati di 1 milione di ebrei ashkenaziti e 4,1 milioni di persone residenti nel Regno Unito.
Impatto sui Clienti
L’indagine ha determinato che gli hacker hanno scaricato o accesso ai dati genetici grezzi non interrotti degli utenti e potrebbero aver avuto accesso ad altre informazioni sensibili nei loro account, come determinati rapporti di salute derivanti dall’elaborazione delle informazioni genetiche, inclusi rapporti sulla predisposizione alla salute, rapporti sul benessere e rapporti sullo stato di portatore. Per i clienti che hanno utilizzato anche la funzione DNA Relatives di 23andMe, è possibile che gli aggressori abbiano raccolto anche le informazioni del profilo DNA Relatives e dell’Albero Genealogico.
Misure Prese da 23andMe
Dopo aver rilevato l’attacco, il 10 ottobre, 23andMe ha iniziato a richiedere a tutti i clienti di reimpostare le proprie password. Dal 6 novembre, tutti i nuovi e attuali clienti devono utilizzare l’autenticazione a due fattori per accedere ai loro account per bloccare futuri tentativi di credential stuffing. In seguito all’incidente dell’anno scorso, sono state presentate anche diverse cause legali contro 23andMe, portando la società a aggiornare i suoi Termini di Utilizzo il 30 novembre con disposizioni che rendono più difficile per i clienti aderire a cause collettive contro 23andMe.
