No final de 2023, a empresa de testes genéticos 23andMe admitido que os dados de seus clientes vazaram online. Um representante da empresa nos contou naquela época, os malfeitores conseguiram acessar as informações de perfil dos Parentes de DNA de cerca de 5,5 milhões de clientes e as informações de perfil da Árvore Familiar de 1,4 milhão de participantes de Parentes de DNA. Agora, a empresa tem revelado mais detalhes sobre o incidente em um arquivamento legalonde dizia que os hackers começaram a invadir contas de clientes no final de abril de 2023. As atividades dos malfeitores duraram meses e duraram até setembro de 2023, antes que a empresa finalmente descobrisse sobre a violação de segurança.
O arquivo da 23andMe contém as cartas que enviou aos clientes que foram afetados pelo incidente. Nas cartas, a empresa explicou que os invasores usaram uma técnica chamada preenchimento de credenciais, que envolvia o uso de credenciais de login previamente comprometidas para acessar contas de clientes por meio de seu site. A empresa não percebeu nada de errado até que um usuário postou uma amostra dos dados roubados no subreddit 23andMe em outubro. Como TechCrunch observa que os hackers já haviam anunciado esses dados roubados em um fórum de hackers alguns meses antes, em agosto, mas a 23andMe não soube dessa postagem. As informações roubadas incluíam nomes de clientes, datas de nascimento, ascendência e dados relacionados à saúde.
A 23andMe aconselhou os usuários afetados a alterar suas senhas após divulgar a violação de dados. Mas antes de enviar cartas aos clientes, a empresa mudou o idioma em seus termos de serviço que supostamente tornaram mais difícil para as pessoas afetadas pelo incidente unir forças e perseguir legalmente a empresa.
Fonte:
