Nelle profondità oscure del web, un'ombra sinistra si è impossessata di dati sensibili di potenzialmente milioni di clienti di 23andMe e sta cercando di venderli a prezzi elevati.
Secondo quanto riportato da The Insider, i dati in questione includono nomi, foto, dettagli sulla nascita ed etnie dei clienti di 23andMe. Tuttavia, l'azienda ha rapidamente affermato che i suoi sistemi di sicurezza non sono stati compromessi e che i dati sembrano essere stati raccolti attraverso credenziali utente precedentemente esposte in violazioni di dati passate.
Un portavoce di 23andMe ha dichiarato:
"I risultati preliminari di questa indagine suggeriscono che le credenziali di accesso utilizzate in questi tentativi potrebbero essere state ottenute da un attore minaccioso da dati trapelati durante incidenti che coinvolgevano altre piattaforme online, dove gli utenti hanno riciclato le credenziali di accesso."
In altre parole, sembra che gli hacker abbiano utilizzato combinazioni di nome utente e password precedentemente compromesse in un'attività nota come "credential stuffing".
L'azienda è venuta a conoscenza dell'attacco attraverso un post su Reddit, che sembra essere stato rimosso dalla piattaforma. Da allora, i dati sono stati messi in vendita sul portale BreachForums.
Un venditore anonimo ha pubblicizzato i dati su BreachForums definendoli come contenenti "profilo DNA di milioni di persone, dai magnati d'affari più importanti del mondo alle dinastie spesso menzionate nelle teorie del complotto". Ha anche affermato che ogni insieme di dati comprende "indirizzi email corrispondenti". Secondo quanto riportato, il campione dei dati conterrebbe voci relative a importanti dirigenti come Mark Zuckerberg, Sergey Brin ed Elon Musk, sebbene la legittimità di tali voci rimanga incerta.
Il venditore ha offerto pacchetti di profili a partire da 1000 dollari per 100 profili, con un massimo di 100,000 dollari per 100,000 profili. Ha persino promesso la possibilità di pagamenti incrementali per acquisti di 10,000 profili in blocco.
Un altro post su BreachForums ha sottolineato che i dati contengono "metà dei membri di 23andMe". Tuttavia, l'azienda, che conta 14 milioni di utenti in totale, non ha ancora confermato il numero esatto di account utente compromessi e ha sottolineato che nessun dato genetico grezzo è stato condiviso.
Secondo la loro indagine preliminare, sembra che gli hacker abbiano ottenuto l'accesso a un numero molto limitato di account utente, ma siano riusciti a raccogliere dati da diversi altri utenti di 23andMe attraverso una funzione chiamata "Parenti DNA". Questa funzione consente agli utenti di connettersi e visualizzare informazioni su altri utenti con cui condividono un "antenato recente", definito tale se si trova meno di nove generazioni indietro sull'albero genealogico.
23andMe non ha ancora confermato se l'attacco fosse mirato a una particolare etnia. Tuttavia, un post su BreachForums ha pubblicizzato il campione di dati come "1 milione di database Ashkenazi", anche se, secondo l'azienda, un individuo potrebbe essere classificato come ebreo ashkenazita anche con solo l'1% di ascendenza ebrea.
L'azienda, fondata nel 2006, è conosciuta per i suoi test in grado di rivelare predisposizioni genetiche, ascendenza e tratti ereditari. L'azienda condivide dati utente anonimizzati con terze parti solo con il consenso degli utenti.
In risposta a questa minaccia, 23andMe sta incoraggiando i suoi utenti a abilitare l'autenticazione a più fattori per prevenire ulteriori attacchi.
Voi avete mai fatto test di questo tipo? Vi siete affidati a 23andMe o ad altre aziende che vendono persino su Amazon?