A firma de exames genéticos 23andMe informou que enfrentou uma invasão cibernética, na qual invasores conseguiram penetrar em seu banco de dados, comprometendo dados de aproximadamente 14 mil clientes. O incidente, que suscita preocupações acerca da segurança das informações pessoais, ganhou destaque, especialmente pela natureza delicada das informações envolvidas.
A organização revelou que os invasores conseguiram acessar não somente dados básicos, mas também informações mais detalhadas sobre a hereditariedade de outros usuários.
Apesar de não ter fornecido um número exato sobre quantos usuários foram impactados por essa violação, a porta-voz da 23andMe, Katie Watson, confirmou que os invasores obtiveram acesso às informações pessoais de cerca de 5,5 milhões de pessoas que participavam do recurso DNA Relatives.
O DNA Relatives é uma funcionalidade que permite aos clientes compartilhar automaticamente alguns de seus dados genéticos com outras pessoas, geralmente familiares.
Ao site TechCrunch, a corporação admitiu que os dados roubados incluem nome da pessoa, ano de nascimento, status de relacionamento, porcentagem de DNA compartilhado com parentes, relatórios de ancestralidade e a localização autodeclarada.
Além disso, um outro grupo composto por cerca de 1,4 milhão de usuários que também optaram pelo DNA Relatives teve suas informações de perfil genealógico expostas. Isso amplia ainda mais a extensão do vazamento, atingindo aproximadamente metade dos sete milhões de clientes da 23andMe.
Como os violadores agiam
A violação dos dados começou a ser noticiada em outubro, quando um invasor afirmou ter obtido informações genéticas de clientes da 23andMe e tentou vendê-las. Na época, como prova da invasão, o invasor publicou dados de um milhão de usuários de herança judaica Ashkenazi e 100 mil usuários chineses.
A 23andMe, ao comentar sobre o incidente, explicou que a vulnerabilidade foi provocada devido à reutilização de senhas pelos clientes. Essa prática permitiu que os invasores realizassem ataques de força bruta nas contas das vítimas.
O recurso DNA Relatives, ao combinar usuários com seus parentes, potencializou o impacto, uma vez que, invadindo uma conta individual, os invasores conseguiram acessar dados pessoais tanto do titular da conta quanto de seus parentes, ampliando assim o número total de vítimas.
A corporação, atualmente, está focada em resolver as consequências dessa brecha de segurança e, mais importante, em fortalecer seus protocolos de segurança para evitar incidentes semelhantes no futuro, em um esforço para reconquistar a confiança dos clientes afetados e daqueles que podem hesitar em utilizar seus serviços de exames genéticos no futuro.
