Empresas de análises genéticas, como a 23andMe, são alvos muito tentadores. Agora, o que mais se temia que acontecesse, aconteceu: a empresa confirmou que alguns dos dados pessoais dos seus clientes estão a circular em fóruns da Dark Web, devido a um ciberataque de preenchimento de credenciais.
Os dados biométricos são muito sensíveis
A 23andMe afirma que a sua base de dados não foi hackeada em si, mas que acederam a uma grande quantidade de informação interna através de uma técnica, aparentemente básica, de credential stuffing. Ou seja, entraram na base de dados com o nome e a palavra-passe obtidos noutros ciberataques.
As contas de cerca de 7 milhões de pessoas foram comprometidas, de acordo com as alegações nos fóruns da Dark Web. Milhões de utilizadores cujos dados de acesso eram semelhantes aos de outros serviços que foram hackeados. Entre os dados obtidos estão nomes, fotografias, geolocalização e informações sobre “DNA Relatives”, um serviço opcional oferecido pela empresa para descobrir com que outras pessoas se tem algum tipo de ligação genética.
A fuga de informação inicial indica que foi posta à venda uma base de dados com “1 milhão de linhas de dados sobre indivíduos Ashkenazi” – um dos principais grupos étnicos judeus. Além disso, foi posta à venda uma base de dados com informações sobre 300 mil utilizadores de origem chinesa.
Preços variam entre um dólar e 10 dólares por perfil
De acordo com os que colocaram os dados à venda, entre as informações obtidas, foi roubado o genótipo dos pacientes, que poderia ser utilizado para determinar a probabilidade de os utilizadores sofrerem de diferentes doenças. Trata-se de uma informação muito sensível e potencialmente interessante para as seguradoras.
No entanto, segundo a 23andMe, embora exista informação genética dos perfis de ADN, em nenhum momento foram divulgados os dados genéticos diretos do ADN dos utilizadores. A empresa ainda está a analisar a situação e a considerar como proceder.
Afirmam que cumprem as mais elevadas normas de privacidade e possuem três certificações ISO diferentes.
Leia também…