23andMe sufre robo de datos de clientes

La empresa de biotecnología y biomedicina 23andMe, dedicada a la creación de perfiles genéticos, sufrió hace unas semanas unataque en el que los atacantes accedieron a información sensible de muchos de sus clientes. 

Los atacantes extrajeron sus datos y pasaron unos días hasta que apareció el primer ciberdelincuente en un foro online dedicado a los cibercrímenes anunciando la venta de datos privados de millones de clientes de 23andMe. Según este anunciante, los datos incluyen estimación de origen, fenotipo, información sanitaria, fotos y datos que los identifican. Además, informa de que el CEO de 23andMe era consciente de que su empresa había sido hackeada hacía dos meses y nunca desveló el incidente, y señalan que poseen datos de la mitad de los clientes de la compañía: 7 millones.

En un comunicado publicado después de la aparición de este anuncio, la empresa asegura que nada de lo que han publicado los atacantes indica que tengan en su poder ningún tipo de información sanitaria, y que lo que aseguran no tiene fundamento. Eso sí, han confirmado que hay datos privados de algunos de sus clientes a la venta.

Al parecer, la causa de la filtración de datos sería el escrapeo de datos, una técnica que se dedica a la extracción sistematizada de pequeñas cantidades de información disponible a los usuarios de un servicio para después reensamblarlas para obtener un escenario completo de información.

Para poder realizar esta tarea, no obstante, hay que contar con una cuenta de usuario del servicio. Por eso, los atacantes consiguieron acceso no autorizado a cuentas de usuario particulares que habían sido configuradas por sus propietarios para apuntarse a una función para localizar potenciales parientes a través del ADN, a la que en la empresa han llamado ADN pariente.

Según la compañía, que inició una investigación tras conocerse que los datos de sus clientes estaban a la venta, hasta ahora no tienen indicios «de que haya habido un incidente relacionado con la seguridad de los datos en nuestros sistemas. En vez de eso, los resultados preliminares de la investigación sugieren que las credenciales de acceso utilizadas en los intentos para entrar en las cuentas pueden haber sido recopilados por un actor atacante de datos filtrados durante incidentes que implican a otras plataformas online, en las que los usuarios han reutilizado credenciales de acceso. Creemos que el atacante puede entonces, violando nuestros términos de servicio, haber accedido a cuentas de 23andme.com sin autorización, y obtenido información de dichas cuentas. Estamos tomando este asunto en serio y seguiremos nuestra investigación para confirmar estos resultados preliminares«.

La función de ADN pariente permite a los usuarios acceder a la información de perfil básica de otros que también permiten que sus perfiles sean visibles para el resto de clientes de la compañía que hayan accedido a activar dicha opción. Si el ADN de uno de los usuarios coincide con el de otro que haya accedido a participar, cada uno de ellos tendrá información a los datos sobre los antepasados del otro.

Al parecer, los datos que se han puesto a la venta corresponden a «13 millones de piezas de datos«, y se desconoce a cuántos clientes de la compañía pertenecen. Al parecer se ha filtrado una base de datos con información de un millón de clientes de ascendencia Ashkenazi. Todos tenían activada la función de ADN pariente. También habría una segunda base de datos filtrada, con unos 300.000 clientes de ascendencia china, que habían activado dicha opción.

Entre los datos hay números de perfil y de identificación de la cuenta, nombres de usuario, género, año de nacimiento, haplogrupos materno y paterno, resultados de herencia de antepasados y datos sobre si el cliente ha optado o no al programa de datos sanitarios de 23andMe. Algunos de estos datos solo se incluyen en las bases de datos cuando los clientes deciden compartirlos.

Además, todos los que han activado la función de acceso al programa DNA pariente pueden ver la información de perfil básica de cualquier otro cliente que haya optado también al programa de manera explícita y haya decidido que su perfil sea visible a otros participantes en él. Al parecer, en cualquier caso, quienes conozcan el identificador del perfil de un cliente pueden ver su foto, nombre, año de nacimiento y ubicación.