23andMe conferma la violazione dei dati: informazioni di 6,9 milioni di utenti trapelate

23andMe, il noto sito di test genetici e servizi collegati, ha confermato che una violazione dei suoi sistemi ha portato alla diffusione di dati appartenenti a 6,9 milioni di utenti.

Secondo quanto dichiarato dal portavoce dell'azienda Andy Kill a TheVerge, la violazione ha riguardato circa 5,5 milioni di utenti che avevano abilitato la funzionalità DNA Relatives, che abbina gli utenti con corredi genetici simili. Altri 1,4 milioni di persone hanno invece avuto violati i loro profili dell'albero genealogico.

23andMe conferma l'attacco ricevuto: rubati dati di 6,9 milioni di utenti

Inizialmente 23andMe aveva rilevato solo l’accesso diretto allo 0,1% degli account, per un totale di 14 mila utenti. Gli aggressori avevano utilizzato un attacco credential stuffing, ovvero l’accesso tramite credenziali ottenute da precedenti fughe di dati e violazioni. Con questi account compromessi, sono poi riusciti ad utilizzare la funzionalità DNA Relatives, che consente di abbinare gli utenti ad altri membri del servizio con cui potrebbero avere antenati in comune. In questo modo hanno avuto accesso a informazioni di milioni di altri profili.

I primi segnali di una possibile violazione erano emersi ad ottobre, quando 23andMe aveva confermato la presenza sul dark web di dati in vendita dei suoi utenti. Inizialmente si parlava di 4 milioni di profili, ma il numero è stato successivamente esteso. Tra le informazioni trapelate ci sono nomi visualizzati, presunte relazioni genetiche quantità di DNA condiviso con i match, rapporti di ascendenza, posizioni geografiche e altri dati sensibili come foto profilo, nomi di famiglia e località di nascita degli antenati. Per gli altri 1,4 milioni di utenti sono invece stati diffusi dati come nomi, età, luoghi di nascita e informazioni sulla parentela.

23andMe ha iniziato a inviare notifiche agli utenti coinvolti e ha irrobustito le misure di sicurezza, rendendo obbligatoria l’autenticazione a due fattori.