La filtración de datos de 23andMe es cada vez más aterradora
Se ha confirmado que la violación de 23andMe que tuvo lugar en octubre fue mucho peor de lo que se informó originalmente, y afectó a 6,9 millones de personas, en comparación con los 14.000 usuarios que se pensaba inicialmente.
La información robada en la infracción incluía los nombres completos de los usuarios, años de nacimiento, etiquetas de relaciones y ubicaciones. Aproximadamente 1,4 millones de usuarios también tenían comprometida la información de perfil de Family Tree en el servicio. Según un portavoz, los piratas informáticos también podrían acceder a información genética durante la infracción, incluidos detalles sobre porcentajes de ADN comunes compartidos con familiares y detalles específicos como la coincidencia de cromosomas.
Los informes indican que estos datos ya se han puesto a la venta en el mercado negro, con varios grupos étnicos ya siendo atacados y malos actores vendiendo la información de una sola persona por entre 1 y 10 dólares en un conjunto de datos. Mientras tanto, el sitio web de seguimiento de ascendencia parece estar cubriendo sus huellas, habiendo enviado rápidamente actualizaciones de los términos de servicio a los usuarios, que detallaban que cualquier queja legal sobre este asunto debe resolverse fuera de los tribunales. Esto impediría a los usuarios intentar una demanda colectiva como acción principal a menos que opten por no participar en una resolución privada.
Si los usuarios desean presentar una demanda colectiva, deben optar colectivamente por no participar en una disputa privada y pueden hacerlo enviando un correo electrónico a [email protected] dentro de los 30 días posteriores a la actualización, que es el 30 de diciembre. Esta información se detalla al final de la quinta sección de la actualización de los términos de servicio de 23andMe, señaló Gizmodo .
En una declaración sobre el asunto, 23andMe intentó trasladar la responsabilidad aún más, detallando en una declaración que la infracción se produjo debido a que los miembros reutilizaron contraseñas de otras cuentas. Este ciberataque común, conocido como relleno de credenciales, permitió a los piratas informáticos recopilar contraseñas ya filtradas para acceder a las 14.000 cuentas iniciales. A partir de ahí, pudieron recorrer más bases de datos de la empresa para robar información, según un portavoz.
Actualmente, se desconocen las implicaciones iniciales de la infracción, pero seguramente se harán evidentes con el tiempo. Los expertos han detallado que incluso cuando la recopilación de datos de consumidores en línea es legal, existe la posibilidad de que se produzca un sesgo implícito que puede afectar las decisiones de contratación, la selección de apartamentos, las solicitudes de crédito y las primas de seguros. En casos ilegales, puede ocurrir robo de identidad.
En particular, Meta (anteriormente Facebook) resolvió una demanda colectiva de 725 millones de dólares en abril, que detallaba que la plataforma de redes sociales dejaba los datos de los usuarios y sus amigos expuestos a terceros con fines de lucro. La demanda agregó que Facebook no tenía reglas ni protección de la privacidad sobre cómo los terceros deberían interactuar con los datos de sus usuarios.
De manera similar, la violación de 23andMe tiene el potencial de que los datos genéticos en las manos equivocadas se utilicen para hacer deducciones sobre individuos basadas en información de salud, como un diagnóstico o antecedentes médicos familiares, dijo a la publicación la becaria jurídica del Centro de Información de Privacidad Electrónica, Suzanne Bernstein.
Si bien los usuarios de la empresa no tenían una estricta higiene de contraseñas , otros expertos señalan que una organización de nicho como 23andMe debería darse cuenta de su posición desde el punto de vista de la ciberseguridad. Alojar datos tan confidenciales convierte a la empresa en un objetivo principal para los ataques cibernéticos y en la necesidad de requisitos de inicio de sesión de respaldo, como la autenticación de dos factores (2FA).