23andMe confirma que el ciberatac que va patir a l’agost va afectar 6,9 milions de persones
21/12/2023

Un portaveu de la companyia va informar que el hackeig es va dur a terme accedint als comptes dels usuaris a través de contrasenyes reutilitzades.
Gairebé un mes després que es donés a conèixer que les dades genètiques i personals d’usuaris de 23andMe, una empresa de biotecnologia coneguda per oferir serveis de proves genètiques i informes d’ascendència, s’havien posat a la venda al web fosc després d’un ciberatac, un portaveu de l’empresa va confirmar que el hackeig va afectar les dades de 6,9 milions de persones, més de les que es pensava inicialment.
23andMe va anunciar a l’octubre que faria una investigació en relació amb la venda d’una llista de dades personals d’usuaris seus amb ascendència jueva asquenazita, obtingudes en una campanya maliciós perpetrat l’agost passat amb la tècnica del raspat, que consisteix a explotar el codi de les pàgines web per recopilar informació pública i privada dels diferents perfils, gràcies a contrasenyes reciclades pels usuaris.
En aquell moment, la companyia va assegurar que «no hi ha cap indici que hi hagi hagut un incident de seguretat de dades dins dels sistemes, o que 23andMe sigui la font de les credencials de compte emprades en aquests atacs», i va assenyalar que els hackers van aconseguir robar informació amb el perfil d’ADN dels usuaris, el nom, la foto, el sexe, la relació genètica entre usuaris, ubicacions, entre d’altres.
Aquesta setmana, el portaveu de l’empresa ha confirmat que l’atac de credencials en massa o credential stuffing va permetre els hackers accedir al 0,1 % dels comptes. Des d’aquests perfils, no obstant això, van cercar usuaris inscrits en el programa DNA Relatives, que flexibilitza les restriccions de privacitat perquè usuaris que puguin estar emparentats es puguin trobar. Va ser d’aquesta manera que van arribar a obtenir dades de prop de 6,9 milions de persones, que representa gairebé la meitat del total de subscriptors de DNA Relatives.
Malgrat el gran nombre d’afectats, 23andMe espera que les conseqüències financeres del ciberatac només siguin d’entre 1 i 2 milions de dòlars.