Roban Datos Genéticos de 23andMe en Ataque de Relleno de Credenciales
La compañía de pruebas genéticas 23andMe está investigando una violación de datos que expuso información de los clientes, incluyendo fotos de perfil, años de nacimiento y detalles de ascendencia de millones de usuarios.
Los datos comprometidos se obtuvieron a través de acceso no autorizado a cuentas individuales de 23andMe, según informó la compañía en un comunicado reportado por Ars Technica.
Los resultados preliminares sugieren que las credenciales de inicio de sesión utilizadas para acceder a las cuentas “pudieron haber sido recopiladas por un actor de amenazas a partir de datos filtrados durante incidentes en otros plataformas en línea donde los usuarios han reutilizado las credenciales de inicio de sesión”, dijo 23andMe.
La técnica, conocida como relleno de credenciales, implica el uso de nombres de usuario y contraseñas expuestas en violaciones anteriores para ingresar a otras cuentas en línea.
Following a claim that someone had gained access to and is selling certain 23andMe customer data, we conducted an investigation. We have not identified any unauthorized access to our systems. We will continue to monitor the situation.
— 23andMeSupport (@23andMeSupport) October 4, 2023
23andMe dijo en una publicación de blog que no tiene evidencia de una violación real de sus sistemas. “No tenemos ninguna indicación en este momento de que haya ocurrido un incidente de seguridad de datos dentro de nuestros sistemas”, escribió la compañía.
Según Wired, la violación apuntó específicamente a usuarios de herencia judía ashkenazi. Los hackers publicaron una muestra inicial de datos en la plataforma BreachForums a principios de esta semana, afirmando que contenía exclusivamente 1 millón de puntos de datos sobre judíos ashkenazi.
Los datos se obtuvieron tomando la información del perfil de familiares conectados a través de la función “Familiares de ADN” de 23andMe, que permite a los clientes conectarse con coincidencias genéticas en la plataforma. Al acceder a cuentas comprometidas, el hacker podría recopilar perfiles de usuarios relacionados que habían optado por compartir su información.
“Creemos que el actor de las amenazas pudo haber accedido, en violación de nuestros términos de servicio, a las cuentas de 23andme.com sin autorización obteniendo información de esas cuentas”, explicó 23andMe en su publicación de blog.
This Is How Much Your Data Sells For on the Dark Web
Durante la semana pasada, en los foros de piratería, un usuario desconocido anunció la venta de datos de usuarios de 23andMe, afirmando haber obtenido información sobre más de 7 millones de clientes. Los datos filtrados incluían “nombres completos, nombres de usuario, fotos de perfil, sexo, fecha de nacimiento, resultados de ascendencia genética y ubicación geográfica”, según BleepingComputer.
Según se informa, otro usuario del foro ofreció acceso a perfiles de 23andMe en grandes cantidades, con precios que oscilaban entre $1 y $10 por cuenta.
23andMe no reveló detalles sobre el número de usuarios afectados ni la magnitud de la filtración de datos. Pero según Ars Technica, una base de datos contenía 1 millón de clientes de ascendencia judía ashkenazi, mientras que una segunda contenía 300.000 perfiles de usuarios de ascendencia china.
Los expertos en seguridad han citado repetidamente los riesgos de datos genéticos comprometidos. “Tu ADN es lo más valioso que posees”, advirtió el Centro Nacional de Contrainteligencia y Seguridad de Estados Unidos en febrero de 2021. “Contiene los detalles más íntimos de tu pasado, presente y futuro potencial, ya sea que seas propenso a la adicción o de alto riesgo de cáncer”.
“Perder tu ADN no es como perder una tarjeta de crédito”, continuó el centro. “Puedes pedir una nueva tarjeta de crédito, pero no puedes reemplazar tu ADN. La pérdida de tu ADN no solo te afecta a ti, sino también a tus familiares y, potencialmente, a las generaciones futuras”.
Disrupting 23andMe
23andMe dijo que informó la violación a las autoridades y alentó a los clientes a restablecer las contraseñas y habilitar la autenticación de dos factores.
“Monitoreamos y auditamos activamente nuestros sistemas de manera rutinaria para garantizar la protección de sus datos”, dijo 23andMe. “Cuando recibimos información a través de esos procesos o de otras fuentes que afirman que los datos de los clientes han sido accedidos por personas no autorizadas, investigamos de inmediato para validar si esta información es precisa”.
La empresa de pruebas genéticas, que ofrece información sobre ascendencia y riesgos de salud basados en análisis de ADN, ha acumulado datos genéticos de más de 14 millones de clientes desde su fundación en 2006.
23andMe dijo que los datos filtrados no contenían detalles genómicos. Sin embargo, los defensores de la privacidad han planteado durante mucho tiempo preocupaciones sobre la sensibilidad de los resultados del análisis de ADN y la posibilidad de que los datos étnicos se vean comprometidos en una violación de seguridad.
La violación de seguridad de 23andMe se produce en medio de una ola de importantes ataques cibernéticos que exponen información sensible de los usuarios. El año pasado, se filtraron un total de 10,9 millones de cuentas, con 10 cuentas filtradas por segundo, según la empresa de privacidad digital Surfshark.
Nota del editor: Esta historia fue redactada con la IA de Decrypt a partir de fuentes mencionadas en el texto y verificada por Ozawa.