Hackers roubam dados de empresa de testes genéticos 23andMe

Ataque reaproveitou senhas de outros vazamentos para invadir contas em massa. Dados de material genético não foram afetados.

Giovanni Santa Rosa
Por
DNA
DNA (Imagem: Sangharsh Lohakare/Unsplash)

A 23andMe é uma empresa que realiza testes genéticos para apontar a ancestralidade e possíveis problemas de saúde dos clientes. A companhia confirmou que foi vítima de um ataque de criminosos, que roubaram milhões de dados de usuários.

As informações incluem nome, sexo, ano de nascimento, origem estimada (que diz que uma pessoa é de origem “europeia” ou “árabe”, por exemplo, sem mais detalhes), fenótipos, informações de saúde, fotos e dados de identificação. Os dados genéticos “crus” aparentemente não estão na lista.

Os dados estão sendo vendidos em fóruns online. O preço varia entre US$ 1 e US$ 10 por conta, dependendo da quantidade comprada.

Alguns grupos se destacam em meio ao vazamento. Há mais de um milhão de dados de judeus asquenazes (comunidade judaica) da Europa Central e do Leste Europeu, e centenas de milhares de dados de indivíduos de origem chinesa. Ainda não se sabe se os atacantes tinham como alvo esses grupos.

Pessoas famosas também constam na lista. Mark Zuckerberg, Elon Musk e Sergey Brin estão entre as celebridades que apareceram à venda em fóruns.

Não se sabe, porém, se os dados são legítimos. Musk e Brin, por exemplo, têm os mesmos IDs de conta e perfil, o que sugere que as informações são falsas.

Hackers usaram senhas de outros vazamentos

Segundo a empresa, os dados foram raspados de seu sistema. Isso significa que os hackers teriam invadido contas individuais e extraído pequenas porções de informações, para depois remontá-las como uma base única.

O ataque aproveitou a função “DNA Relatives” (ou “familiares de DNA”, em tradução livre), que permite que os clientes compartilhem seus dados com outras pessoas.

Os criminosos usaram a técnica de credential stuffing (ou preenchimento de credenciais, em português). Ela consiste em reutilizar dados de outros vazamentos em outros serviços. Segundo a empresa, seu sistema de segurança não foi comprometido.

A 23andMe recomenda ativar a autenticação de dois fatores. Outra boa prática de segurança é não repetir senhas em diferentes sites.

Com informações: Wired, 23andMe

Receba mais sobre Dados na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Relacionados

Problema seu: startup de DNA diz que vazamento foi culpa dos clientes
Problema seu: startup de DNA diz que vazamento foi culpa dos clientes
O que é um hacker?
O que é um hacker?
Como uma senha pode ser descoberta por hackers
Como uma senha pode ser descoberta por hackers
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Google alerta para phishing no YouTube e venda de canais sequestrados
Google alerta para phishing no YouTube e venda de canais sequestrados
O que é backdoor em computação?
O que é backdoor em computação?
Mais problemas para o Reddit: hackers ameaçam vazar 80 GB de dados roubados
Mais problemas para o Reddit: hackers ameaçam vazar 80 GB de dados roubados
O que é um crime cibernético? 3 casos populares
O que é um crime cibernético? 3 casos populares
Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas
Hackers invadem clínica de cirurgia plástica e vazam fotos de pacientes nuas
Como funciona o golpe de phishing no YouTube
Como funciona o golpe de phishing no YouTube