23andMe, una società statunitense che si occupa di genomica, e biotecnologia, e che fornisce test genetici e servizi ad esso collegati, ha confermato un incidente di sicurezza, rivelando solo recentemente ulteriori dettagli in merito all'incidente, in cui un hacker ha ottenuto informazioni da diversi account utente.
L'hacker, recentemente, ha minacciato l'azienda di vendere a terzi i dati genetici ottenuti in seguito alla violazione del database, obbligando l'azienda 23andMe a rendere pubblico l'incidente.
Secondo quanto dichiarato alla US Securities and Exchange Commission, 23andMe ha determinato che l'hacker ha potuto accedere solo a circa lo 0,1 percento degli account utente, stimando una somma che si aggira attorno ai 14.000 account, su un totale di oltre 14 milioni di clienti globali.
Di questi 14 milioni, inoltre, circa 5,5 milioni di individui, iscritti alla funzione DNA Relatives, hanno avuto i loro dati compromessi, tra cui nomi, anni di nascita, quantità di DNA condivisa con parenti, e informazioni sull'albero genealogico; mentre altri 1,4 milioni hanno subito accessi ai dati del profilo dell'albero genealogico della loro famiglia.
TechCrunch, che ha riportato la notizia, ha notato che parte delle informazioni ricevute da 23andMe è stata considerata "off background", senza la possibilità di rifiutarne i termini, e si è chiesto perché tali numeri non siano stati divulgati durante la presentazione dell'incidente alla SEC (la Securities and Exchange Commission degli USA).
L'incidente si è verificato perché gli hacker hanno sfruttato credenziali di accesso precedentemente compromesse, in un fenomeno noto come "credential stuffing". Facciamo un esempio rapido per farvi capire meglio; ipotizziamo che un hacker sia riuscito ad ottenere, attaccando un popolare Forum, un elenco di utenti con username e password di accesso.
Il malintenzionato sfrutta la classica pigrizia degli utenti, e prova a fare login su altri siti utilizzando le stesse credenziali rubate. Prima o poi, e vi assicuriamo che è una probabilità molto elevata, riuscirà a trovare un sito che presenterà le stesse credenziali, vista l'alta percentuale di utenti che utilizzano sempre lo stesso username e la stessa password.
L'attacco rappresenta un importante monito sulla sicurezza web, soprattutto data la natura sensibile dei dati coinvolti, quali informazioni genetiche personali, che non dovrebbero assolutamente finire nelle mani di sconosciuti.