.
Um cibercriminoso afirma ter carregado um segundo lote de dados de perfil roubados da empresa de biotecnologia 23andMe, postando-os no mesmo fórum de crimes cibernéticos que hospedou o primeiro lote há duas semanas.
O indivíduo que usa o pseudônimo “Golem” carregou mais 4,1 milhões de registros, principalmente de usuários do Reino Unido, no que parece ser outro empreendimento de motivação religiosa.
A primeira fuga de informação, no início de Outubro, continha 1 milhão de registos de pessoas cujo ADN incluía marcadores judaicos Ashkenazi – um aparente alvo do grupo étnico, cujos dados genéticos são, aliás, muito próximos dos dos palestinianos. Na postagem do BreachForums, Golem postou uma declaração anti-semita dizendo que os novos dados incluíam mais amostras de DNA Ashkenazi, algo que eles caracterizaram como pertencente a pessoas que eram de alguma forma ricas e sionistas por causa de sua genética.
Acredita-se que os usuários alemães também tenham sido afetados pelo vazamento mais recente, mas o cibercriminoso afirmou que apenas um terço dos usuários de origem alemã estão incluídos neste lote.
Golem prosseguiu acusando o chanceler alemão Olof Scholz de “servir ao sionismo”, acrescentando a sugestão de que o ataque tinha motivação religiosa.
Eles também fizeram a afirmação não confirmada de que incluíam “amostras de centenas de famílias, incluindo a família real, Rothschilds, Rockefellers e muito mais”.
23andMe contou Strong The One: “Estamos cientes de que o agente da ameaça envolvido nesta investigação postou o que afirma ser informações adicionais do perfil relativo do DNA do cliente. No momento, estamos revisando os dados para determinar se são legítimos. Nossa investigação está em andamento e se soubermos que o nome de um cliente dados foram acessados sem sua autorização, iremos notificá-los diretamente com mais informações.”
Violação inicial
Golem postou um link para o que foi anunciado como um tesouro de 1 milhão de registros de perfis 23andMe, incluindo marcadores judaicos Ashkenazi para Fóruns de violação em 2 de outubro.
Eles definiram o preço dos downloads de acordo com o número de registros que o usuário desejava, anunciando os dados como incluindo informações brutas de perfil, fotografias, grupos étnicos e outros pontos de dados. A escala de preços foi:
- 100 perfis por US$ 1.000
- 1.000 perfis por US$ 5.000
- 10.000 perfis por US$ 20.000
- 100.000 perfis por US$ 100.000
23andMe primeiro confirmado teve conhecimento de um incidente de segurança em 6 de outubro, na época dizendo que continuava a investigar o evento.
A empresa confirmou rapidamente a sua crença de que a fuga de dados não foi resultado de uma vulnerabilidade de segurança explorada pelo cibercriminoso. Em vez disso, as evidências apontaram para uma preenchimento de credenciais ataque que capitalizou as credenciais recicladas dos usuários que vazaram em outras violações antes do incidente da 23andMe ocorrer.
As investigações iniciais da empresa concluíram que todas as contas afetadas pelo vazamento optaram pelo recurso DNA Relatives.
DNA Relatives é um importante ponto de venda para o serviço da empresa que permite que os usuários sejam emparelhados com outros usuários se compartilharem uma parte de seu DNA, e 23andMe oferece uma previsão da relação mais provável que você tem com um usuário emparelhado.
Uma atualização foi publicada pela empresa em 9 de outubro, informando que os clientes considerados afetados estavam sendo contatados diretamente com mais informações.
Como vítima da violação, este repórter não recebeu um e-mail para confirmar que seus dados foram impactados até 14 de outubro, quase duas semanas após o vazamento inicial.
De acordo com o e-mail, alguns usuários tiveram apenas as informações do perfil DNA Relatives vazadas. Alguns tiveram suas contas acessadas diretamente e outros tiveram suas informações roubadas apenas porque foram compartilhadas com um parente de DNA que teve sua conta comprometida.
Isto pode explicar de alguma forma a escala da violação, tendo também em conta que, de acordo com a 23andMe, os judeus Ashkenazi e aqueles com outras origens europeias normalmente têm muitas correspondências na plataforma.
Mesmo que uma conta não tenha sido comprometida através dos ataques de preenchimento de credenciais, porque optou por DNA Relatives e teve seus atributos de perfil de DNA Relatives compartilhados com contas que foram acessadas, isso significa que uma ampla gama de dados de indivíduos poderia ser acessada através de uma conta comprometida. Conta 23andMe.
Os dados incluídos nos perfis DNA Relative incluem: data do último login; rótulos de relacionamento (masculino, feminino, neutro); relacionamento previsto (por exemplo, primo em segundo grau) e porcentagem de DNA compartilhado com um usuário compatível; e o nome de exibição relativo do DNA.
Os nomes de exibição são configuráveis desde o mais transparente, que exibe o nome e sobrenome completos, até o menos transparente, que mostra apenas a inicial do nome e sobrenome.
Por exemplo, Golem postou um link para o que eles alegaram ser o perfil DNA Relative da CEO da 23andMe, Anne Wojcicki, embora o nome de exibição da conta seja apenas “A W”.
Opcionalmente, os usuários podem compartilhar dados adicionais, como localização, local de nascimento dos ancestrais e nomes de família, foto do perfil, ano de nascimento e outros.
Central de ação coletiva
Talvez sem surpresa, o incidente gerou uma enxurrada de ações judiciais coletivas contra a 23andMe, incluindo cinco na Califórnia, onde a empresa está sediada.
No caso de Santana x 23andMeos demandantes alegam que a empresa não implementou “procedimentos e protocolos de segurança cibernética adequados e razoáveis, necessários para proteger as informações de identificação pessoal da vítima”.
Alegaram também, entre muitas outras questões, que a 23andMe desrespeitou os direitos dos seus utilizadores ao não proteger adequadamente os seus sistemas de dados contra intrusões não autorizadas e monitorizar a sua rede para descobrir a intrusão mais cedo.
As reivindicações feitas em Andrizzi x 23andMe, Lamons x 23andMee JS x 23andMe também eram de natureza muito semelhante.
Éden vs 23andMe ajuizou ações por negligência, invasão de privacidade, quebra de contrato e quebra de contrato implícito, entre outros. ®
.
