Hackers roubam dados de DNA de 7 milhões de pessoas
Informações vazadas incluem nome, ano de nascimento, rótulos de relacionamento, porcentagem de DNA compartilhado com parentes e localização
A empresa de análise de DNA 23andMe confirmou que dados de cerca de 7 milhões de usuários, quase metade de sua clientela, foram roubados por hackers em outubro.
A companhia divulgou um relatório na última sexta-feira (1º) alegando que informações de aproximadamente 14 mil clientes haviam sido acessados. No entanto, o mesmo documento afirmava que “um número significativo de arquivos contendo informações de perfil sobre a ascendência de outros usuários” tinha sido acessado.
Questionada pelo portal TechCrunch, a 23andMe afirmou no sábado (2), por e-mail, que devido a um recurso opcional que permite aos clientes compartilhar automaticamente alguns de seus dados com outras pessoas, o número real de pessoas expostas foi de 6,9 milhões.
Os dados roubados incluíam o nome da pessoa, ano de nascimento, rótulos de relacionamento, porcentagem de DNA compartilhado com parentes, relatórios de ancestralidade e localização autodeclarada.
No início de outubro, o site Wired informou que um hacker alegou ter conseguido informações de DNA de usuários do 23andMe em uma postagem em um conhecido fórum.
Como prova da violação, o criminoso publicou os supostos dados de um milhão de usuários de ascendência judaica e de 100 mil usuários chineses, pedindo aos compradores entre US$ 1 e US$ 10 pelos dados de cada conta.
Duas semanas depois, o mesmo agente anunciou os supostos registros de outros quatro milhões de pessoas no mesmo fórum de hackers.
Segundo o TechCrunch, outro hacker em um fórum separado já havia anunciado um lote de dados de clientes 23andMe supostamente roubados dois meses antes do anúncio amplamente divulgado.
Ao divulgar o incidente em outubro, a 23andMe disse que a violação de dados foi causada pela reutilização de senhas pelos clientes, o que permitiu que hackers entrassem nas contas usando senhas publicamente conhecidas divulgadas em violações de dados de outras empresas.