Hackers acessaram dados de 6,9 milhões de usuários do DNA Relatives, diz 23andMe

23andMe confirmou uma violação de dados que afetou 6,9 milhões de usuários. Um atacante utilizou credential stuffing para manter acesso a contas, chegando a cerca de 14 mil perfis. A brecha permitiu explorar o recurso DNA Relatives para alcançar informações de milhões de outros perfis.

Do total, 5,5 milhões tinham o DNA Relatives ativado, permitindo cruzar dados entre perfis geneticamente parecidos. Outros 1,4 milhão tiveram seus perfis de árvore genealógica acessados, ampliando o conjunto de informações expostas.

A empresa informou à SEC e publicou atualização em seu blog no fim de 1º de dezembro. O porta-voz Andy Kill disse que não há indícios de violação interna aos sistemas da empresa, apesar de o volume de dados ter sido amplamente comprometido.

Contexto e desdobramentos

As últimas informações indicam que parte dos ataques ocorreu em outubro, quando surgiram relatos de dados de usuários à venda na dark web. A 23andMe também avaliou alegações de vazamentos envolvendo milhões de perfis na Grã-Bretanha e entre os Estados Unidos e a Europa Ocidental.

Os 5,5 milhões de perfis do DNA Relatives expostos incluem nomes de exibição, relacionamentos estimados, quantidade de DNA compartilhada, relatos de ancestralidade, locais auto-relatados e locais de nascimento dos ancestrais. Fotos de perfil também foram mencionadas em algumas divulgações.

Além disso, 1,4 milhão de perfis de árvore genealógica tiveram dados como nomes de exibição, rótulos de relacionamento, ano de nascimento e locais de origem expostos. Não foram incluídas informações sobre a porcentagem de DNA compartilhado.

Medidas de mitigação e próximos passos

A 23andMe afirmou estar notificando os usuários afetados. A empresa passou a orientar redefinição de senhas e tornou obrigatória a autenticação de dois fatores para novos e antigos usuários, que antes tinham a verificação opcional.