Vigilantes da privacidade no Reino Unido e no Canadá lançaram uma investigação conjunta sobre a violação de dados ocorrida na 23andMe no ano passado.
Na segunda-feira, o Gabinete do Comissário de Informação (ICO) do Reino Unido e o Gabinete do Comissário de Privacidade do Canadá (OPC) anunciaram a investigação sobre a empresa de testes genéticos. As organizações planejam aproveitar os recursos e a experiência combinados de seus dois escritórios.
Em 2023, a 23andMe divulgou um incidente de segurança que afetou os dados genéticos e de ancestralidade de 6,9 milhões de usuários, cerca de metade de sua base total de clientes. A empresa relatou que não detectou as atividades dos hackers por aproximadamente cinco meses, de abril a setembro de 2023. A 23andMe só tomou conhecimento das violações em outubro de 2023, quando os dados roubados foram anunciados em um subreddit não oficial da 23andMe e em um conhecido fórum de hackers.
Os dados comprometidos incluíam nome, ano de nascimento, rótulos de relacionamento, porcentagem de DNA compartilhado com parentes, relatórios de ancestralidade e localização autodeclarada.
Método de Ataque
Os hackers invadiram cerca de 14.000 contas de clientes reutilizando senhas de violações anteriores, uma técnica conhecida como pulverização de senhas. Através de um recurso chamado DNA Relatives, que permitia aos usuários compartilhar automaticamente alguns de seus dados com outras pessoas, os hackers conseguiram extrair informações de 6,9 milhões de usuários, invadindo apenas 14.000 contas.
O Comissário da ICO, John Edwards, destacou a importância de as pessoas confiarem que qualquer organização que lide com informações pessoais sensíveis tenha segurança adequada. “Esta violação de dados teve um impacto internacional e esperamos colaborar com nossos homólogos canadenses para garantir que as informações pessoais das pessoas no Reino Unido sejam protegidas”, disse Edwards.
Objetivos da Investigação
A investigação conjunta analisará o escopo das informações expostas, os potenciais danos às vítimas, se a 23andMe possuía salvaguardas adequadas para proteger os dados confidenciais dos usuários e se forneceu notificação adequada ao ICO e ao OPC.
Andy Kill, porta-voz da 23andMe, declarou que a empresa reconhece a investigação conjunta anunciada pelo Comissário de Privacidade do Canadá e pelo Comissário de Informação do Reino Unido. “Pretendemos cooperar com as solicitações razoáveis desses reguladores relacionadas ao ataque de preenchimento de credenciais descoberto em outubro de 2023”, afirmou Kill.
