1 puntos por GN⁺ 2023-12-06 | 1 comentarios | Compartir por WhatsApp
  • Al principio se informó que las cuentas comprometidas directamente eran unas 14,000, pero el alcance total creció a 6.9 millones de personas a través de la red de conexiones de DNA Relatives
  • Cerca de 5.5 millones de usuarios con opt-in quedaron expuestos con nombre, año de nacimiento, etiqueta de parentesco, porcentaje de ADN compartido con familiares, reportes de ascendencia y ubicación reportada por el propio usuario
  • Otros 1.4 millones aproximadamente tuvieron acceso no autorizado a la información de su perfil de Family Tree, incluyendo nombre visible, etiqueta de parentesco, ubicación y si compartían información o no
  • 23andMe dijo que la reutilización de contraseñas por parte de los clientes permitió acceder a cuentas usando contraseñas filtradas de otros servicios
  • Como la intrusión en una cuenta podía exponer la información de familiares conectados, el impacto llegó a cerca de la mitad de los 14 millones de clientes totales reportados por 23andMe

La filtración de datos de 23andMe crece a 6.9 millones de personas

  • 23andMe anunció el viernes que hackers accedieron a datos personales del 0.1% de sus clientes, unas 14,000 personas
  • En ese momento, la empresa dijo que a través de esas cuentas también se podía acceder a un “número significativo” de archivos con información de ascendencia de otros usuarios, pero no reveló cuántos “otros usuarios” fueron afectados
  • Después, un vocero de 23andMe confirmó que el total de afectados fue de 6.9 millones
  • Esa cifra equivale a cerca de la mitad de los 14 millones de clientes totales reportados por 23andMe

Información expuesta en DNA Relatives y Family Tree

  • Alrededor de 5.5 millones eran usuarios que habían hecho opt-in en la función DNA Relatives de 23andMe
    • Esta función permite que los clientes compartan automáticamente algunos datos con otros usuarios
    • Entre los datos a los que accedieron los hackers estaban nombre, año de nacimiento, etiqueta de parentesco, porcentaje de ADN compartido con familiares, reportes de ascendencia y ubicación reportada por el propio usuario
  • Otros 1.4 millones aproximadamente de usuarios con opt-in en DNA Relatives tuvieron acceso no autorizado a la información de su perfil de Family Tree
    • La información incluida era nombre visible, etiqueta de parentesco, año de nacimiento, ubicación reportada por el propio usuario y si el usuario había elegido compartir información
  • Como DNA Relatives funciona emparejando a los usuarios con sus familiares, cuando una cuenta es hackeada pueden quedar expuestos no solo los datos del titular de esa cuenta, sino también los datos personales de familiares conectados
  • Esa estructura de conexiones hizo que el alcance del daño fuera mucho mayor que el número de cuentas comprometidas directamente

Publicaciones en foros de hacking e indicios sobre la autenticidad de los datos

  • A inicios de octubre, un hacker afirmó en un conocido foro de hacking que había robado información de ADN de usuarios de 23andMe
  • Como prueba de la intrusión, publicó datos que supuestamente correspondían a 1 millón de usuarios de ascendencia judía asquenazí y 100,000 usuarios chinos
  • Ese hacker ofreció vender los datos por 1 a 10 dólares por cuenta
  • Dos semanas después, el mismo hacker anunció en el mismo foro de hacking datos adicionales que supuestamente correspondían a 4 millones de registros
  • En otro foro de hacking también se confirmó la existencia de anuncios de paquetes supuestamente con datos de clientes de 23andMe, publicados incluso dos meses antes de los anuncios más conocidos
  • Al analizar los datos filtrados hace varios meses, algunos registros coincidían con datos genéticos que investigadores aficionados y genealogistas habían publicado en línea
    • Los dos conjuntos de datos tenían formatos distintos, pero coincidían en algunos datos únicos de usuarios y datos generales
    • Esto sugiere que al menos una parte de los datos filtrados por el hacker podría corresponder realmente a datos de clientes de 23andMe

La causa de la intrusión según 23andMe

  • En la divulgación de la intrusión de octubre, 23andMe señaló como causa la reutilización de contraseñas por parte de los clientes
  • Los hackers pudieron acceder a las cuentas de las víctimas mediante ataques de relleno de credenciales usando contraseñas expuestas en filtraciones de datos de otras empresas
  • El acceso a una sola cuenta podía extenderse al acceso a información de otros usuarios a través de la red de conexiones de DNA Relatives, ampliando mucho el alcance del incidente

1 comentarios

 
GN⁺ 2023-12-06
Opiniones en Hacker News
  • Este incidente es el contraejemplo perfecto a la frase: “¿Por qué te importa tanto la privacidad? Si yo comparto, no te afecta, y si no te gusta, no lo hagas”.
    Si un familiar sube información genómica a 23andMe, también revela información sobre mí, independientemente de mi elección.
    Espero que la gente se dé cuenta de que lo mismo aplica cuando se recopilan datos de comportamiento de personas que comparten el mismo contexto.

    • Estoy de acuerdo con ese contraargumento en sí, pero no estoy tan seguro de que la gente realmente hable así.
      Lo más común es simplemente “¿Por qué te importa tanto la privacidad?”, y muchas veces ni siquiera entienden por qué la privacidad es importante.
      Este caso tampoco será una refutación más fuerte que otras filtraciones hasta que muestre daños reales.
      Me pregunto qué creen que realmente les va a pasar a las personas a quienes les robaron datos relacionados con su ascendencia esta vez.
    • Personalmente, creo que la filtración de Equifax fue un mejor contraejemplo.
      Con 23andMe, al menos el cliente podía decidir si usar o no el servicio y sopesar pros y contras; pero con Equifax uno quedaba incorporado a la fuerza en un sistema de evaluación que afecta desde solicitudes de préstamo hasta postulaciones de empleo, y la empresa tenía mi información personal absorbiendo datos vendidos por terceros.
      Incluso después de la filtración no hubo una reparación efectiva y, pese a que la probabilidad de robo de identidad era muy alta, en vez de reconocer su culpa solo ofrecieron un “monitoreo de crédito” de trámite.
      Al final, las agencias de crédito que crearon el problema comparten y distribuyen información sin consentimiento y aun así no asumen ninguna responsabilidad.
      Me parece una lógica ignorante y autodestructiva, en la que la despreocupación por la privacidad termina dejando también a otras personas en una situación peor.
    • Apoyo la privacidad y suelo evitar compartir, incluso aceptando más incomodidades que la mayoría, pero también creo que la elección individual es importante.
      No se me ocurre fácilmente un modelo de privacidad que permita impedir que otra persona comparta su propia información solo porque parte de esa información se superpone con la mía.
    • Para ser precisos, no se ha reportado que hayan robado datos genómicos.
      Lo filtrado parece más bien estar relacionado con datos genealógicos y de parentesco.
      Se dice que los datos robados incluían nombres, años de nacimiento, etiquetas de relación, porcentaje de ADN compartido con familiares, informes de ascendencia y ubicación autodeclarada.
    • De acuerdo.
      De forma parecida, basta con preguntar: “¿Cuánto ganas?”, “¿Puedo leer tu correspondencia?”, “¿Puedo tener las llaves de tu casa?”.
      Hay gente a la que le cuestan las ideas abstractas, pero cuando lo llevas al mundo físico, todos entienden de inmediato la incomodidad.
  • Me pregunto qué tanta relación tendrá esto con el cambio en los términos de servicio que salió el Día de Acción de Gracias, justo en el momento perfecto para quedar enterrado en la bandeja de entrada de todo el mundo.
    Este cambio intenta prohibir las demandas colectivas, obliga a pasar por un procedimiento “informal” de 60 días antes de cualquier acción legal y empuja a un arbitraje vinculante.
    Según las cláusulas redactadas por los abogados de 23andMe, como cliente prácticamente no tienes derechos legales reales.

    • ¿Esto sería válido en un tribunal?
      Al menos en Alemania, los contratos demasiado favorables para una de las partes quedan invalidados si llegan a la corte.
    • Acabo de recibir la actualización por correo, y parece que los nuevos términos permiten optar por rechazarlos.
      No estoy seguro de cuáles sean las consecuencias.
      “Le recomendamos leer los nuevos términos completos. Si no acepta los términos, notifíquenos dentro de los 30 días posteriores a la fecha en que recibió este correo. En ese caso, seguirán aplicándose los términos de servicio vigentes. Si no nos notifica dentro de los 30 días, se considerará que acepta los nuevos términos”.
      Correo de notificación: legal@23andme.com
    • Si 6.9 millones de usuarios inician procedimientos de arbitraje, quizá 23andMe termine prefiriendo una demanda colectiva.
  • Me pregunto si hay alguien que crea que, en adelante, será posible mantener la privacidad en un sentido realmente práctico.
    Los algoritmos de aprendizaje automático están aprendiendo a identificar a personas solo por su forma de caminar, sin reconocimiento facial, y también van en la dirección de descifrar el texto ingresado solo a partir del sonido de las teclas.
    Si se cuenta con el conjunto de pistas de todos los datos públicos y algoritmos suficientemente avanzados, ¿habrá alguna forma de mantener la privacidad que hoy consideramos razonable sin aplicar absolutamente todas las medidas extremas?
    No intento hacer un juicio de valor; solo digo que la tendencia en curso parece apuntar a eso.

    • Probablemente sea difícil, pero eso no es motivo para abandonar la discusión sobre cómo debería verse la privacidad en el futuro.
      Si nos quedamos quietos, ellos ganan; pero si lo discutimos públicamente, al menos existe la posibilidad de establecer salvaguardas.
      Claro que, si soy sincero, todo está perdido y EvilCorp va a ganar, así que quizá solo esté gastando energía peleando y volviéndome loco.
      La resistencia es inútil.
    • Hace unos 10 años conocía a personas que investigaban algoritmos de visión por computadora para reconocer gente no por el rostro, sino por la forma de las orejas, la marcha y rasgos corporales.
      Era porque empresas como Fortinet querían crear “porteros automáticos” con cámaras en las entradas de departamentos o condominios para escanear y analizar a la gente que pasaba.
      Casi no vi conciencia ética en ninguna de las personas involucradas.
      Lo que hace falta es una legislación fuerte que consagre el derecho al olvido.
      No creo que la automatización de la identificación sea inherentemente incorrecta, pero sí creo que están muy mal los intentos de las empresas por identificar a todos los seres humanos posibles sin consentimiento.
    • En cierto modo, el gobierno británico llevaba décadas investigando una forma de caminar que preserva la privacidad: https://youtu.be/eCLp7zodUiI
    • Estoy de acuerdo, pero la privacidad también es una abstracción colocada encima de lo que realmente preocupa a la gente.
      La respuesta a “por qué quieres ocultar esta información” termina reduciéndose al miedo de que “[alguna persona o grupo] pueda usar [datos privados] para provocarme [un mal resultado]”.
      Lo que de verdad le importa a la gente no son los datos en sí, sino el riesgo de malos resultados.
      Si esta tendencia es correcta, el foco debería estar en impedir los desequilibrios asimétricos de poder en las transacciones sociales que pueden producir esos malos resultados.
    • Personalmente, no creo que sea posible mantenerla.
      Antes me enloquecía solo pensar en que se filtraran documentos confidenciales, pero al ver lo mal que se maneja la información personal me di cuenta de que es algo casi garantizado.
      Incluso en Australia, donde las leyes de privacidad son bastante buenas, el gran hackeo a Optus hizo que robaran la información de tarjetas de crédito de aproximadamente la mitad de la población, y el hackeo a Medibank expuso los datos de buena parte de los clientes de seguros médicos privados.
      Al solicitar una hipoteca, descubrí que incluso pequeños brokers hipotecarios de barrio reciben por email cientos o miles de documentos de identidad sensibles cada año, y ni siquiera los eliminan después de cerrar la operación.
      Muchas empresas en Australia verifican la identidad solo con nombre, dirección y fecha de nacimiento, datos que por lo general se encuentran fácilmente con una búsqueda de 5 minutos.
      Durante años tuve configurado en mi cuenta de Telstra un PIN que debía impedir cambios administrativos, pero un día llamé y simplemente hicieron el trámite sin siquiera pedirme la contraseña.
      Creo que la única forma de que se respete la privacidad es hacer que la responsabilidad por el fraude recaiga en las empresas, que son las verdaderas víctimas.
      El viejo chiste de que “te robaron la identidad” en realidad no significa que te hayan robado la identidad, sino que falló el proceso de verificación de una empresa y esta desvía la responsabilidad para evitar hacerse cargo de la pérdida.
      Por eso últimamente uso solo tarjeta de crédito.
      Porque si hay un uso fraudulento puedo hacer un contracargo, y es prácticamente el único mecanismo que realmente puede impedir el acceso no autorizado a mi dinero.
  • Hace poco me pasó algo bastante escalofriante.
    Me llamó un hospital al que había ido unos meses antes para pedirme que participara en un programa de análisis de ADN.
    Me dijeron: “Lo mejor es que no tiene que hacer nada. Podemos usar la muestra de sangre que le tomamos la vez pasada”.
    Por supuesto me negué, pero me pareció absurdo que hubieran conservado, sin avisarme, una muestra biológica vinculada a mí y que además pudieran hacerle un análisis de ADN a posteriori.
    Lo sentí como una prueba de que las leyes de privacidad en Estados Unidos prácticamente no existen.
    En la UE no se puede congelar y conservar una muestra sin consentimiento, y las muestras no congeladas solo se permiten durante unos pocos días.

    • En Suecia existe un registro de muestras de sangre de todas las personas nacidas en Suecia desde 1975: https://sv.wikipedia.org/wiki/PKU-registret
      El artículo de Wikipedia está solo en sueco.
      Como era de esperarse, o quizá de forma interesante, la policía no podía acceder a esos datos hasta que, después del asesinato de una ministra del gobierno en 2003, obtuvo la muestra de un sospechoso.
      Hasta donde se sabe, no se ha usado desde entonces.
      Se puede ver con cinismo, pero hasta ahora el uso del registro por parte de la policía no se ha instalado como práctica y está controlado por los tribunales.
    • Aun así, el hospital llamó para pedir permiso de uso, y si cumplió la ley no habría usado la muestra realmente.
      Entonces, ¿no significa eso que sí hay leyes de privacidad?
      También podría haber sido una etapa del proceso de depuración de resultados o muestras antiguos.
  • Algo no cuadra
    Dicen que “23andMe afirmó que la filtración de datos ocurrió por la reutilización de contraseñas de sus clientes”, pero si hackearon 14.000 cuentas de una sola vez, ¿de dónde salieron esas contraseñas?
    ¿No habrá habido alguna otra filtración relacionada, como la de LastPass?
    Además, si los hackers accedieron a la información personal de 6,9 millones de personas mediante la función “DNA Relatives”, eso significa que cada una de las 14.000 cuentas originalmente comprometidas tenía unos 492 parientes únicos
    ¿Qué me estoy perdiendo?

    • Que hayan comprometido 14.000 cuentas no es tan sorprendente en sí, salvo por el problema técnico de no haber limitado o detectado intentos de inicio de sesión en distintas cuentas
      Los atacantes podrían haber extraído los datos con una gran red distribuida, pero lo más probable es que simplemente no hubiera detección ni protección desde el principio
      Dicho eso, cuando inicié sesión para revisar cuántos parientes tenía en mi cuenta, 23andMe bloqueó el acceso y me exigió restablecer la contraseña por reutilización de contraseña
      En esa cuenta siempre usé una contraseña muy fuerte, nunca la reutilicé en ningún otro lado y además tenía activada la autenticación de dos factores
      Parece que la empresa tampoco está del todo cómoda con la explicación de que la causa fueran contraseñas reutilizadas
      Después de restablecer una contraseña que nunca había reutilizado, revisé el panel de parientes de DNA y tenía 60 páginas, con 25 personas por página, así que se podían extraer 1.500 parientes en total
      Si raspas eso de 14.000 cuentas aleatorias, puedes construir una red bastante grande
    • No me sorprende en absoluto
      Hay listas enormes disponibles públicamente que recopilan múltiples filtraciones de contraseñas pasadas, y son fáciles de acceder no solo para atacantes, sino para cualquiera
      Es totalmente razonable que, entre más de 14 millones de usuarios, 14.000 personas —el 0,1%— hayan reutilizado contraseñas filtradas en otros sitios
      Más aún si, como en la discusión de ayer en HN sobre el trabajo de Troy Hunt, esas contraseñas no se detectan y se invalidan explícitamente
    • Si la filtración fue por reutilización de contraseñas, eso debería significar que combinaciones de nombre de usuario y contraseña se filtraron de otro lado
      Si los nombres de usuario y contraseñas se filtraron desde 23andMe, no es un problema de reutilización, sino simplemente que encontraron una lista de credenciales de 23andMe y la crackearon
      No tiene nada de sorprendente que 14.000 usuarios de 23andMe coincidan con listas de filtraciones de otros sitios web o con listas combinadas de filtraciones de varios sitios
    • Si mi situación en 23andMe es cercana al promedio en cuanto a cantidad de parientes de DNA y la vulnerabilidad de esos parientes al hackeo, entonces es plausible
      Buscando, 23andMe tiene 14 millones de clientes, y 14.000 cuentas filtradas equivalen a 1 de cada 1.000 comprometidas
      En mi lista de parientes de DNA aparecen un poco más de 1.500 personas
      Si cada cuenta tenía una probabilidad de 1/1000 de ser hackeada, la probabilidad de que ninguno de mis parientes haya sido hackeado es (1-1/1000)^1500 = 0,223
      La probabilidad de que al menos un pariente haya sido hackeado es entonces 0,777
      Suponiendo que yo sea promedio, se esperaría que unas 10,8 millones de personas tuvieran como pariente a una cuenta hackeada, lo cual parece bastante cercano a la cifra de 6,9 millones
  • Nunca he considerado seriamente usar 23andMe
    No por los hackers, sino por cómo podría usar esa información el gobierno
    No quiero cargar con la responsabilidad de que un pariente aleatorio termine acusado de un delito solo porque yo tenía curiosidad por mi árbol genealógico

    • Gracias a 23andMe descubrí que mi padre no era mi padre biológico real, y que tenía una media hermana y una gran familia extendida cuya existencia ni siquiera conocía
      Entiendo perfectamente las preocupaciones de privacidad y de información personal identificable, pero para mí definitivamente valió la pena porque me ayudó a entender mejor quién soy y a encontrar familiares que me recibieron con mucho cariño
      Al final es un trade-off
    • Me da mucha curiosidad mi información de 23andMe, pero asumí que algún día sería hackeada o vendida a una organización poco confiable que quisiera hacer dinero rápido vendiendo a sus usuarios
      Lo haría si después de hacerme la prueba y enviarme los resultados, la empresa destruyera sus datos e información de prueba, o si existiera una prueba casera en la que los datos no salieran de mi casa
      Me cuesta entender por qué las empresas siguen conservando estos datos
      Es una responsabilidad enorme
      En este caso quizá sea por la función de identificación de parentesco, pero me pregunto si esa función vale el riesgo
    • ¿Ha habido casos en los que se hayan usado este tipo de bases de datos para presentar cargos que no fueran por asesinato o violación?
      Los casos que he visto resueltos con esta tecnología son de esos en los que me alegraría saber que lo que hice ayudó a detener a alguien que estaba haciendo algo gravemente malo
    • Si esa es tu única preocupación, deberías leer más sobre los nazis
      Basta imaginar qué habrían hecho si hubieran tenido en sus manos una base de datos de información genética
  • Casualmente, ayer leí en otro hilo un excelente comentario de adameasterling sobre los ataques de relleno de credenciales [1]
    Decía: “Troy Hunt es una persona realmente valiosa. Si desarrollas aplicaciones web, no hay excusa para no protegerte contra ataques de relleno de credenciales. La mejor defensa probablemente sea la autenticación de dos factores, pero contrastar con la base de datos de contraseñas hasheadas de Hunt también es muy bueno y no exige trabajo adicional al usuario”
    Ese comentario era de un artículo de hace 60 días, pero aun así mencionaba a 23andMe [2] como ejemplo, y este incidente también aparece mencionado en el artículo de TechCrunch
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • A estas alturas, siento que cualquier empresa que recopile datos será hackeada tarde o temprano
    No es cuestión de “si pasará”, sino de cuándo pasará

    • Salvo que haya una muy buena razón, las sanciones deberían ser lo bastante fuertes como para impedir que sitios y apps recopilen más que una dirección de correo electrónico
      Querer enviar material de marketing no es una buena razón
    • Si el gobierno quiere recibir o modificar los datos, ni siquiera hace falta que los hackeen
    • No es que protegerse sea difícil
      Es que invertir en seguridad normalmente no es una prioridad del negocio
      Eso funciona así no solo para la dirección, sino también para quienes ejecutan el trabajo, mediante obligaciones e incentivos
      La mayoría de estos grandes hackeos provienen de amenazas bien conocidas que una auditoría común, hecha de buena fe, podría detectar
  • “Por suerte, ahora ofrecemos un servicio de monitoreo genómico. ¡Por solo $79.99 al mes, recibirá una alerta cada vez que alguien intente acceder a sus registros genéticos!” — 23andMe

  • “Si no tienes nada que ocultar, ¿qué tienes que temer?”
    Yo les temo a las personas estúpidas en posiciones de poder
    El uso de coincidencias de ADN como técnica para resolver delitos siempre ha sido problemático
    “La evidencia de ADN no es tan confiable como mucha gente cree”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “La falsa promesa de las pruebas de ADN”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “Cómo la evidencia forense de ADN puede llevar a condenas erróneas”
    https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/