.
O serviço de perfil genético 23andMe confirmou que dados privados de usuários estão circulando para venda online depois de serem retirados de seu site.
A confirmação de sexta-feira ocorre cinco dias depois que uma entidade desconhecida foi a um fórum on-line sobre crimes para anunciar a venda de informações privadas para milhões de usuários 23andMe. As postagens no fórum alegavam que os dados roubados incluíam estimativa de origem, fenótipo, informações de saúde, fotos e dados de identificação. As postagens afirmavam que o CEO da 23andMe estava ciente de que a empresa havia sido “hackeada” dois meses antes e nunca revelou o incidente.
Funcionários da 23andMe confirmaram na sexta-feira que os dados privados de alguns de seus usuários estão, de fato, à venda. A causa do vazamento, disseram as autoridades, é a extração de dados, uma técnica que essencialmente remonta grandes quantidades de dados, extraindo sistematicamente menores quantidades de informações disponíveis para usuários individuais de um serviço. Os invasores obtiveram acesso não autorizado às contas individuais do 23andMe, todas configuradas pelo usuário para ativar um recurso relativo ao DNA que lhes permite encontrar parentes em potencial.
Em um comunicado, as autoridades escreveram:
Não temos nenhuma indicação neste momento de que tenha havido um incidente de segurança de dados em nossos sistemas. Em vez disso, os resultados preliminares desta investigação sugerem que as credenciais de login utilizadas nestas tentativas de acesso podem ter sido recolhidas por um agente de ameaça a partir de dados vazados durante incidentes envolvendo outras plataformas online onde os utilizadores reciclaram credenciais de login.
Acreditamos que o autor da ameaça pode ter, violando nossos termos de serviço, acessado contas 23andme.com sem autorização e obtido informações dessas contas. Estamos levando essa questão a sério e continuaremos nossa investigação para confirmar esses resultados preliminares.
O recurso relativo ao DNA permite que os usuários que optam por visualizar informações básicas do perfil de outras pessoas que também permitem que seus perfis sejam visíveis para os participantes do DNA Relativo, disse um porta-voz. Se o DNA de um usuário optante corresponder ao de outro, cada um terá acesso às informações de ancestralidade do outro.
A postagem no fórum do crime afirmava que os invasores obtiveram “13 milhões de dados”. Os funcionários da 23andMe não forneceram detalhes sobre as informações vazadas disponíveis online, o número de usuários a que pertencem ou onde estão sendo disponibilizadas. Na sexta-feira, The Record and Bleeping Computer informou que um banco de dados vazado continha informações de 1 milhão de usuários de herança Ashkenazi, todos os quais haviam optado pelo serviço relativo de DNA. O Record disse que um segundo banco de dados incluía 300 mil usuários de herança chinesa que também haviam optado por participar.
Os dados incluíam números de identificação de perfil e conta, nomes, sexo, ano de nascimento, marcadores genéticos maternos e paternos, resultados de herança ancestral e dados sobre se cada usuário optou ou não pelos dados de saúde da 23andme.
O Record também informou que um pesquisador descobriu recentemente uma falha no site 23andMe que permite que pessoas que conhecem o ID do perfil de um usuário visualizem a foto, o nome, o ano de nascimento e a localização do perfil desse usuário.
Até agora, tornou-se claro que o armazenamento de informação genética online acarreta riscos. Em 2018, o MyHeritage revelou que endereços de e-mail e senhas com hash de mais de 92 milhões de usuários foram roubados por meio de uma violação de sua rede ocorrida sete meses antes. Naquele mesmo ano, autoridades policiais na Califórnia disseram que usaram um site genealógico diferente para rastrear um suspeito há muito procurado em uma série de assassinatos terríveis ocorridos 40 anos antes. Os investigadores compararam o DNA deixado na cena do crime com o DNA do suspeito. O suspeito nunca havia enviado uma amostra ao serviço conhecido como GEDMatch. Em vez disso, a correspondência foi feita com um usuário GEDMatch relacionado ao suspeito.
Embora haja benefícios em armazenar informação genética online para que as pessoas possam rastrear o seu património e localizar familiares, existem claras ameaças à privacidade. Mesmo que um usuário escolha uma senha forte e use a autenticação de dois fatores, como a 23andMe recomenda há muito tempo, seus dados ainda podem ser varridos em incidentes de raspagem como o confirmado recentemente. A única maneira segura de protegê-lo contra roubo online é, em primeiro lugar, não armazená-lo lá.
.
