.
Os vigilantes da proteção de dados do Reino Unido e do Canadá estão se unindo para descobrir os fatos por trás da violação de dados 23andMe do ano passado.
A matilha de dois cães do Gabinete do Comissário de Informação (ICO) e do Comissário de Privacidade do Canadá (OPC) analisará se a violação do negócio de biotecnologia causou algum dano ao cliente, se as salvaguardas apropriadas foram implementadas para evitar o incidente, e se eles fossem adequadamente sinceros com os reguladores na época.
John Edwards, Comissário de Informação do Reino Unido, afirmou: “As pessoas precisam de confiar que qualquer organização que lide com as suas informações pessoais mais sensíveis dispõe da segurança e das salvaguardas adequadas.
“Esta violação de dados teve um impacto internacional e esperamos colaborar com os nossos homólogos canadianos para garantir que as informações pessoais das pessoas no Reino Unido sejam protegidas”.
O homólogo de Edwards, Philippe Dufresne, o Comissário de Privacidade do Canadá, repetiu essas palavras: “Nas mãos erradas, a informação genética de um indivíduo pode ser utilizada indevidamente para vigilância ou discriminação. Garantir que as informações pessoais sejam adequadamente protegidas contra ataques de agentes mal-intencionados é um foco importante para autoridades de privacidade no Canadá e em todo o mundo.”
A violação da genética e do localizador de famílias há muito perdidas foi um dos incidentes mais chocantes do ano, com o número de indivíduos afetados aumentando para quase 7 milhões após meses de investigações.
Também veio à tona que a empresa não conseguiu detectar a atividade dos invasores por cinco meses, só tomando conhecimento de uma violação depois de ver uma postagem no Reddit sobre o roubo de dados, em vez de seus próprios detetives cibernéticos internos detectarem a intrusão.
O cibercriminoso usando o pseudônimo “Golem” postou os dados no BreachForums, aparentemente visando clientes judeus Ashkenazi da 23andMe.
Golem também fez uma série de declarações e alegações anti-semitas contra políticos europeus, bem como vários comentários referenciando o sionismo.
Quem esteve por trás do ataque invadiu apenas 14.000 contas, no entanto, a adesão em larga escala ao recurso DNA Relatives da plataforma – que permite aos usuários navegar por outras pessoas com quem possam estar relacionados – significou que milhões de dados de usuários foram acessados. .
As muitas configurações diferentes possíveis dos controles granulares de privacidade da conta da 23andMe significaram que os criminosos foram capazes de acessar vários graus de dados sobre os usuários afetados. Desde as informações básicas do perfil que você espera que sejam incluídas em uma violação, até as árvores genealógicas e quais cromossomos correspondem a cada parente, havia o potencial de roubo de algumas informações altamente confidenciais.
A 23andMe também tomou a curiosa medida de culpar os maus hábitos de segurança de seus próprios clientes por permitir o desenvolvimento da violação – uma jogada ousada de relações públicas, com certeza, e que não vemos com frequência, talvez por um bom motivo.
Seguiu-se um debate acirrado, com seguranças da informação atacando a empresa de biotecnologia pelo que alguns acreditavam serem comunicações rebeldes que cheiravam a culpar as vítimas. Um especialista em relações públicas disse O registro na época em que a resposta da empresa “errou completamente o alvo”.
Enquanto isso, outros apoiaram a medida, dizendo que a negligência do usuário foi de fato o motivo da violação.
Os responsáveis pelo ataque usaram métodos de preenchimento de credenciais para obter acesso a cerca de 14.000 contas. Nem sempre é a coisa mais fácil de entender, visto que credenciais válidas são usadas para fazer login nas contas, mas existem maneiras de detectar e prevenir isso, como a implantação de 2FA/MFA, e essa será, sem dúvida, uma das primeiras perguntas que os reguladores farão. à medida que a investigação prossegue.
A 23andMe só habilitou 2FA por padrão nas contas em novembro de 2023, um mês após a ocorrência da primeira violação, que os reguladores podem considerar ter sido uma proteção instalada tarde demais.
A ICO e a OPC disseram que nenhum comentário adicional será feito sobre a 23andMe até que a investigação termine.
Um porta-voz da 23andMe enviou uma declaração para O registro: “23andMe reconhece a investigação conjunta anunciada hoje pelo Comissário de Privacidade do Canadá e pelo Comissário de Informação do Reino Unido. Pretendemos cooperar com as solicitações razoáveis desses reguladores relacionadas ao ataque de preenchimento de credenciais descoberto em outubro de 2023.” ®
.
