23andMe Confirma: Hackers robaron datos de ascendencia de 6.9 millones de usuarios

La mayoría de los usuarios afectados ya están siendo notificados, confirmó 23andMe.

Se ha confirmado que 6.9 millones adicionales de usuarios de 23andMe tuvieron datos de ascendencia robados después de que los piratas informáticos accedieran a miles de cuentas mediante el probable reuso de contraseñas filtradas anteriormente.

23andMe reveló previamente en una presentación ante la Comisión de Valores y Bolsa que el 0.1 por ciento de los usuarios, aproximadamente 14,000 según la estimación de TechCrunch, tuvieron cuentas accedidas por piratas informáticos que utilizaron contraseñas comprometidas.

Después de que se informara sobre el ciberataque, Wired estimó que "al menos un millón de puntos de datos de cuentas de 23andMe" que eran "exclusivamente sobre judíos askenazíes" y puntos de datos de "cientos de miles de usuarios de ascendencia china" parecían estar expuestos. Pero más allá de esas estimaciones, durante dos meses, todo lo que el público sabía era que la presentación de 23andMe señalaba que "un número significativo de archivos que contenían información de perfil sobre la ascendencia de otros usuarios" también fueron accedidos.

TechCrunch instó a 23andMe a verificar exactamente cuántos "otros usuarios" se vieron afectados, lo que llevó a un portavoz a confirmar que dos grupos de usuarios que optaron por la función de "Familiares de ADN" tuvieron sus datos personales robados.

23andMe describe la función de Familiares de ADN como "una de las funciones más interactivas" ofrecidas en el sitio, "permitiéndote encontrar y conectarte con familiares genéticos y aprender más sobre tu familia". Al optar por participar, los usuarios esperan encontrar familiares perdidos al dar acceso a otros a información como su año de nacimiento, ubicación actual y nombres y lugares de nacimiento de sus ancestros. Los usuarios pueden optar por salir en cualquier momento, pero si lo hacen, se vuelve más difícil detectar parientes "en cualquier rama de tu árbol genealógico", según el sitio web.

El grupo más grande, que abarca aproximadamente 5.5 millones de usuarios, fue hackeado después de optar por compartir automáticamente información con Familiares de ADN, incluyendo su "nombre, año de nacimiento, etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y ubicación autoreportada", según informó TechCrunch. El grupo más pequeño, alrededor de 1.4 millones de usuarios, compartió información de "perfil del árbol genealógico" que fue hackeada, incluyendo nombres de pantalla, etiquetas de relación, año de nacimiento y ubicación autoreportada, informó TechCrunch.

Solicitado para comentar, un portavoz de 23andMe vinculó a Ars a un blog que señala que todos los usuarios afectados están siendo notificados actualmente. La compañía no ha aclarado por qué no reveló estos números exactos al anunciar el ciberataque. Según TechCrunch, estos nuevos números sugieren que casi la mitad de los 14 millones de usuarios de 23andMe fueron hackeados.

Cuando se informó por primera vez sobre el hackeo, una organización sin fines de lucro dedicada a defender la privacidad en línea, la Electronic Frontier Foundation (EFF), señaló que "no hay leyes federales que protejan claramente a los usuarios de sitios en línea de pruebas genéticas como 23andMe". Mientras que 23andMe recomendó que todos los usuarios refuercen sus contraseñas, EFF fue un paso más allá y sugirió que los usuarios consideren desactivar la función de Familiares de ADN, especialmente si no la están usando activamente. EFF también proporcionó un tutorial para los usuarios que se preparan para descargar sus datos de 23andMe y eliminar sus cuentas.

Para incentivar a los usuarios a quedarse, 23andMe también ha trabajado para mejorar la seguridad de la cuenta desde el incidente, según dijo su blog.

"Hemos tomado medidas para proteger aún más los datos del cliente, incluido exigir a todos los clientes existentes que restablezcan su contraseña y requerir verificación de dos pasos para todos los clientes nuevos y existentes", dice el blog. "La compañía seguirá invirtiendo en proteger nuestros sistemas y datos".

23andMe dice que su investigación ha concluido, pero parece que sus problemas apenas comienzan. El popular sitio de pruebas de ADN le dijo a la SEC que espera gastar de $1 a $2 millones respondiendo al incidente hasta el final del año fiscal. 23andMe también informó que se está defendiendo contra múltiples demandas colectivas presentadas en tribunales federales y estatales de EE. UU., así como en tribunales de Columbia Británica y Ontario, Canadá. Los consumidores en California también han presentado quejas bajo la Ley de Privacidad del Consumidor de California, y diversos funcionarios y agencias gubernamentales han realizado investigaciones.

"El alcance completo de los costos y los impactos relacionados con este incidente y la litigación relacionada, incluida, entre otros, la disponibilidad de seguros para compensar algunos de estos costos, no se puede estimar en este momento", dice la presentación de la SEC.

Fuente y créditos: Hackers stole ancestry data of 6.9 million users, 23andMe finally confirmed | Ars Technica

Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.