23andMe confirma que hackers robaron datos de ascendencia de 6.9 millones de usuarios

 (techcrunch.com)
1 puntos por GN⁺ 2023-12-06 | 1 comentarios | Compartir por WhatsApp

Incidente de hackeo de 23andMe: confirman el robo de datos de ascendencia de 6.9 millones de personas

  • La empresa de pruebas genéticas 23andMe anunció que hackers accedieron a datos personales de clientes y a una cantidad considerable de archivos que incluían información personal de unas 14 mil personas, así como información de perfil sobre la ascendencia de otros usuarios.
  • Los hackers accedieron a la información personal de aproximadamente 5.5 millones de personas que aceptaron la función DNA Relatives de 23andMe, y entre los datos robados se incluyen nombres, año de nacimiento, etiquetas de relación de parentesco, porcentaje de ADN compartido con familiares, reportes de ascendencia y ubicación autodeclarada.
  • Además, también se accedió a la información de perfil del árbol familiar de aproximadamente 1.4 millones de usuarios que aceptaron la función DNA Relatives, incluyendo nombre visible, etiquetas de relación de parentesco, año de nacimiento, ubicación autodeclarada y si compartían información.

Publicidad de la filtración de datos en foros de hackers

  • A inicios de octubre, un hacker afirmó en un conocido foro de hacking que había robado información de ADN de usuarios de 23andMe, publicó datos de 1 millón de descendientes judíos asquenazíes y de 100 mil usuarios chinos, y pidió entre 1 y 10 dólares por los datos de cuentas individuales.
  • Después, el mismo hacker anunció otros 4 millones de registros en el mismo foro, y TechCrunch descubrió que otro hacker ya había estado anunciando datos robados de clientes de 23andMe en un foro de hacking distinto dos meses antes.
  • Los datos filtrados hace algunos meses y analizados por TechCrunch coincidían en parte con registros de personas que publicaban en línea información genética como pasatiempo, lo que sugiere que los datos filtrados por los hackers eran, al menos en parte, datos reales de clientes de 23andMe.

Filtración de datos por reutilización de contraseñas

  • En la divulgación del incidente publicada en octubre, 23andMe señaló que la filtración ocurrió porque los clientes reutilizaban sus contraseñas.
  • Los hackers pudieron vulnerar las cuentas de las víctimas mediante ataques de fuerza bruta usando contraseñas expuestas en filtraciones de datos de otras empresas.
  • Debido a la forma en que la función DNA Relatives empareja a los usuarios con sus familiares, al comprometer la cuenta de una persona se podía ver no solo la información del titular de esa cuenta, sino también los datos personales de sus familiares, aumentando así el número de víctimas.

Opinión de GN⁺

Lo más importante de este artículo es que 23andMe, un servicio de pruebas genéticas, sufrió una filtración masiva de datos. El incidente reveló que hackers robaron datos de ascendencia de aproximadamente 6.9 millones de usuarios, una cifra cercana a la mitad de los clientes de 23andMe. La filtración fue causada por la reutilización de contraseñas, lo que vuelve a recordar la importancia de la seguridad en línea. Este artículo resulta interesante porque muestra qué tan sensible puede ser la información genética personal y cómo este tipo de datos puede terminar en manos equivocadas. También puede servir para aumentar la conciencia pública sobre la privacidad de los datos y la ciberseguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-12-06
Comentarios de Hacker News

  • La importancia de la privacidad

    • Señalan que cuando un familiar comparte sus datos genéticos mediante servicios como 23andMe, eso afecta la exposición de la información propia.
    • Esperan que también se entienda que la recopilación de datos de comportamiento puede afectar a otras personas con antecedentes en común.

  • Problemas con la actualización de los términos de servicio de 23andMe

    • La actualización de los términos de servicio anunciada en Thanksgiving prohíbe las demandas colectivas, exige un proceso informal de 60 días antes de cualquier acción legal y requiere arbitraje vinculante.
    • Parece redactada por los abogados de 23andMe de forma que los clientes prácticamente no tengan casi ningún derecho legal.

  • Dudas sobre el futuro de la privacidad

    • Los algoritmos de aprendizaje automático están avanzando hacia poder identificar a una persona solo por su forma de caminar y descifrar texto solo por el sonido del teclado.
    • Expresan que será difícil mantener el nivel razonable de privacidad actual usando datos públicos y algoritmos más avanzados.

  • Experiencia con una solicitud de participación en un programa hospitalario de análisis de ADN

    • Un hospital propuso hacer un análisis de ADN usando muestras de sangre que ya había recolectado antes.
    • Se presenta como un caso que muestra que en EE. UU. las leyes de privacidad prácticamente no existen, ya que en Europa no se pueden conservar muestras sin consentimiento.

  • Sospechas sobre la filtración de datos de 23andMe

    • Se filtraron 14,000 cuentas de una sola vez y los hackers accedieron a la información personal de 6.9 millones de personas mediante la función DNA Relatives.
    • Esto significa que cada cuenta tenía información de un promedio de 492 familiares únicos.

  • Escepticismo personal sobre usar el servicio de 23andMe

    • No consideran usar el servicio por la preocupación sobre cómo podría usar esa información el gobierno, más que los hackers.

  • Enlaces a noticias recientes relacionadas con 23andMe

    • Se proporcionan enlaces a noticias sobre filtraciones de datos y hackeos relacionados con 23andMe ocurridos en diciembre y octubre de 2023.

  • Discusión sobre credential stuffing

    • Se enfatiza que los desarrolladores de aplicaciones web deben tomar medidas de protección contra el credential stuffing.
    • Se menciona que usar la base de datos de contraseñas hasheadas de Troy Hunt es una buena defensa.

  • Posibilidad de hackeo en empresas que recopilan datos

    • Expresan la opinión de que toda empresa que recopila datos eventualmente será hackeada.

  • Posibilidad de demanda colectiva por parte de personas que no usaron 23andMe

    • Plantean la pregunta de si también se puede reclamar el derecho a la privacidad cuando un familiar usó 23andMe.