A empresa de testes genéticos 23andMe está enfrentando uma ação coletiva sobre suas práticas de segurança depois que hackers roubaram e publicaram dados de cerca de 1 milhão de pessoas com ascendência judaica.
A violação de dados foi revelada na sexta-feira, depois que hackers publicaram um banco de dados intitulado “dados de DNA de celebridades ashkenazi” em fóruns da dark web. A maioria das pessoas na lista não é famosa e o banco de dados inclui informações como nomes de exibição, sexo, ano de nascimento e alguns detalhes sobre os resultados de ancestralidade genética dos usuários.
O hacker do vazamento inicial se ofereceu para vender perfis de dados em massa por US$ 1 a US$ 10 por conta. Mas até 7 milhões de contas podem estar à venda – metade dos usuários do 23andMe. Não está claro se quem compilou a lista Ashkenazi – que na verdade tem 999.999 entradas – é o mesmo grupo que a colocou à venda, informou a NBC News.
Investigando o incidente
A 23andMe está tratando o vazamento como autêntico e investigando o incidente. Também exige que seus usuários alterem suas senhas.
“Estamos levando esta questão a sério e continuaremos nossa investigação para confirmar esses resultados preliminares”, afirmou a empresa em comunicado.
Também não está claro por que os dados foram roubados e se se concentram exclusivamente nos judeus Ashkenazi. (O hacker também baixou um arquivo separado com dados de mais de 300.000 usuários com ascendência chinesa.)
“Quando são partilhados dados relativos a grupos étnicos, nacionais, políticos ou outros, por vezes é porque esses grupos foram especificamente visados, mas por vezes é porque a pessoa que partilha os dados pensa que isso irá gerar manchetes que aumentarão a sua reputação”, Brett Callow, um analista de ameaças da empresa de segurança Emsisoft, disse à Wired.
A 23andMe confirmou na semana passada que seus dados foram comprometidos, mas disse que seus sistemas não foram violados. Em vez disso, a empresa acredita que os hackers conseguiram acessar senhas recicladas que já haviam sido hackeadas e vazadas em outros sites e depois usaram essas informações para extrair dados por meio do 23andMe, que dá aos seus usuários acesso às informações genéticas uns dos outros para encontrar parentes por meio de um recurso popular chamado “DNA Parentes”.
“Este incidente realmente destaca os riscos associados aos bancos de dados de DNA”, disse Callow. “O fato de que as contas teriam optado pelo recurso ‘Parentes de DNA’ é particularmente preocupante, pois poderia resultar na divulgação de informações extremamente confidenciais.”
