La empresa explica que un actor de amenazas utilizó un ataque de relleno de credenciales, ingresando con información de cuenta obtenida en otras violaciones de seguridad, para acceder directamente al 0,1% de las cuentas de usuarios, alrededor de 14.000 usuarios en total.
A través de estas cuentas comprometidas, los atacantes utilizaron la función de "Familiares de ADN", que empareja a las personas con otros miembros con los que pueden compartir ancestros, para acceder a información adicional de millones de perfiles adicionales.
El ciberdelincuente también accedió a "una cantidad significativa de archivos" a través de la función de "Familiares"
Aunque 23andMe afirmó en su comunicado que el ciberdelincuente también accedió a "una cantidad significativa de archivos" a través de la función de "Familiares", no proporcionaron la cifra exacta.
El portavoz de la empresa, Andy Kill, ha señalado que “todavía no tenemos ninguna indicación de que haya ocurrido un incidente de seguridad de datos dentro de nuestros sistemas o que 23andMe haya sido la fuente de las credenciales de cuenta utilizadas en estos ataques". Sin embargo, la información de 6,9 millones de usuarios ahora está en manos de los atacantes.
Los primeros signos públicos de problemas surgieron en octubre, cuando 23andMe confirmó que la información de los usuarios estaba a la venta en la dark web. Posteriormente, el sitio de pruebas genéticas dijo que estaba investigando las afirmaciones de un hacker que filtró perfiles genéticos de 4 millones de personas en el Reino Unido y "las personas más ricas que viven en los Estados Unidos y Europa Occidental".
Los perfiles filtrados de los 5,5 millones de Familiares de ADN incluyen datos como nombres, relaciones predichas con otros usuarios, cantidad de ADN compartido, informes de ascendencia, ubicaciones autodeclaradas, lugares de nacimiento de ancestros, nombres de familia, fotos de perfil y más.
Los restantes 1,4 millones de usuarios cuyos perfiles de árbol genealógico fueron accesibles también participaron en la función de Familiares de ADN, y la información comprometida incluye nombres de pantalla, etiquetas de relación, año de nacimiento y ubicaciones autodeclaradas. Sin embargo, no se incluye el porcentaje de ADN compartido con parientes potenciales ni los segmentos de ADN coincidentes.
23andMe aún está en proceso de notificar a los usuarios afectados por la brecha. Además, ha comenzado a advertir a los usuarios que cambien sus contraseñas y ahora exige la verificación de dos pasos tanto para usuarios nuevos como existentes, una medida que anteriormente era opcional.
Si (
No(
