Hacker filtra millones más de registros de usuarios de 23andMe en un foro de ciberdelincuencia

 (techcrunch.com)
1 puntos por GN⁺ 2023-10-19 | 1 comentarios | Compartir por WhatsApp
  • Un hacker llamado Golem filtró varios millones de registros adicionales de usuarios de la empresa de pruebas genéticas 23andMe en un foro de ciberdelincuencia llamado BreachForums.
  • Esta filtración es la segunda gran exposición de datos de 23andMe en las últimas semanas, y anteriormente el mismo hacker ya había filtrado una cantidad considerable de datos de usuarios.
  • Se informa que el nuevo conjunto de datos filtrado incluye registros de 4 millones de usuarios, entre ellos personas adineradas del Reino Unido, Estados Unidos y Europa occidental.
  • 23andMe reconoció esta filtración y actualmente está verificando la autenticidad de los datos.
  • La empresa había explicado previamente que la filtración inicial de datos se debió a una técnica de credential stuffing que usa combinaciones de nombre de usuario o correo electrónico y contraseña obtenidas de otras filtraciones de datos.
  • En respuesta a estas filtraciones, 23andMe pidió a los usuarios cambiar sus contraseñas y activar la autenticación multifactor.
  • La empresa inició una investigación con la ayuda de especialistas forenses de terceros.
  • Aún no está claro cuántos datos de usuarios fueron robados en total ni cómo planean usar los hackers la información sustraída.
  • Un hacker de otro foro de ciberdelincuencia llamado Hydra afirmó previamente tener 300 terabytes de datos de usuarios de 23andMe, pero esa afirmación aún no ha sido verificada.
  • El alcance total de la filtración de datos todavía se desconoce, y tampoco está claro cuánta información fue extraída.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-19
Opiniones de Hacker News
  • Artículo sobre una filtración de datos en 23andMe en la que se expusieron en un foro de ciberdelincuencia los registros de millones de usuarios.
  • 23andMe culpó del incidente a la reutilización de contraseñas y a una función opcional llamada DNA Relatives, que permite a los usuarios ver datos de otros usuarios con coincidencias genéticas.
  • Quienes comentaron criticaron que 23andMe culpara a los clientes y sostuvieron que la empresa debió haber implementado mejores medidas de seguridad.
  • Algunas personas señalaron que las opciones de compartición dentro del programa DNA Relatives carecían de granularidad, y que el límite de poder ver las 1500 coincidencias más cercanas pudo haber permitido a los atacantes recopilar datos de la mayoría de las personas en la base de datos.
  • Otras lamentaron haber usado 23andMe debido a preocupaciones de privacidad y a la falta de confianza en las prácticas de manejo de datos de la empresa.
  • También hubo comentarios sobre la falla de la empresa al no detectar una exfiltración de 300 TB de datos de clientes, algo que algunas personas consideraron negligencia.
  • Algunas personas sugirieron que 23andMe debió exigir autenticación de dos factores (2FA) o usar Google Single Sign-On (SSO) para reforzar la seguridad.
  • Unos pocos usuarios compartieron que usaron nombres falsos y direcciones de correo desechables al enviar sus resultados a 23andMe.
  • También hubo menciones de incidentes relacionados y demandas vinculadas a la filtración de datos de 23andMe.