Problema seu: startup de DNA diz que vazamento foi culpa dos clientes

Clientes da 23andMe sofreram vazamento de dados em outubro e milhões de contas foram afetadas. Empresa culpa vazamentos de terceiros por invasão

Por Felipe Freitas

há 3 meses

23andMe, empresa de testes genéticos, culpa uso de senhas iguais por vazamento de dados de clientes (Imagem: Braño/Unsplash)

A empresa de testes de DNA 23andMe culpa os seus usuários pelo vazamento de dados de 6,9 milhões de contas. A declaração foi dada através de uma carta enviada para os clientes que estão processando a 23andMe. Na carta, a empresa diz que o ataque aconteceu porque os usuários afetados utilizavam as mesmas credenciais do 23andMe em outros serviços que foram invadidos por hackers

A invasão ao sistema da empresa aconteceu em outubro do ano passado. Os hackers roubaram dados pessoais e sensíveis (aqui estou usando a definição da LGPD), que incluem, por exemplo, informações como fenótipos, origem estimada (a possível etnia com base no DNA) e dados de saúde. Os dados foram anunciados em fóruns hackers.

23andMe culpa usuários por vazamento de dados

Para a 23andMe, a culpa pelo vazamento de dados é dos clientes que reutilizaram senhas e emails que foram divulgadas após invasões de outros serviços. Na carta, a empresa, através de seus advogados, reforça o que já havia dito em outubro: não ouve invasão ao seu sistema, mas uma credential stuffing, nome em inglês da técnica de usar dados já vazados para invadir contas de outras plataformas.

Por exemplo, em 2017 tivemos o caso de vazamento de contas e senhas do falecido Legendas.tv. Caso um usuário com uma conta neste site usasse a mesma senha e email para outro serviço, um hacker pode tentar roubar os dados usuários apenas reutilizando essas informações.

A 23andMe, ao saber dos roubos, resetou a senha dos seus clientes. Na mesma época, a empresa reforçou que os usuários deveriam ativar a autenticação de dois fatores (2FA) para entrar em suas contas. Hoje o uso da 2FA é obrigatório.

Recurso DNA Relatives permite compartilhar dados com possíveis parentes distantes (Imagem: Reprodução/23andMe)

De acordo com a investigação da 23andMe, os hackers conseguiram os dados desses 6,9 milhões de usuários logando em apenas de 14 mil contas. Isso foi possível devido ao recurso opcional DNA Relatives, que permite ao usuário compartilhar seus dados com possíveis parentes — afinal, a graça do 23andMe, Genera e similares é justamente descobrir parentes distantes… ou que você é foi trocado na maternidade com mais duas crianças.

O DNA Relatives permite ao usuário escolher o que vai compartilhar, como nome completo, possível ancestralidade (etnia) e árvore genealógica. Porém, parece que mais de 6,8 milhões de contas optaram por compartilhar praticamente tudo, o que levou “apenas” 14 mil contas invadidas serem o suficiente para chegar a quase 7 milhões de contas roubadas.

Com informações: TechCrunch