Um ataque informático à empresa 23andMe comprometeu os dados genéticos de cerca de sete milhões de pessoas no início de Outubro, admitiu a administração da empresa que se dedica à realização de testes genéticos e genealógicos. A porta de entrada dos atacantes foi uma funcionalidade que permite pôr em contacto os clientes que partilham ADN entre si.

O número de pessoas cujos dados ficaram expostos aos atacantes informáticos corresponde a cerca de metade dos 14 milhões de clientes registados na 23andMe. O relatório redigido pela empresa especificou que, embora o acesso a dados pessoais só tenha ocorrido em 0,1% dos clientes (14 mil pessoas), os hackers acederam a “um número significativo de ficheiros contendo informações de perfil sobre os antepassados de outros utilizadores”.

Em comunicado, a 23andMe disse ter sido “informada de que certas informações de perfil de clientes da 23andMe foram compiladas através do acesso a contas individuais da 23andMe.com”. Em cerca de 1,4 milhões de utilizadores, os hackers “tiveram acesso à informação do perfil da sua árvore genealógica”, o que inclui os nomes, datas de nascimento e localizações.

“Acreditamos que o autor da ameaça pode ter, em violação dos nossos termos de serviço, acedido a contas 23andme.com sem autorização e obtido informações dessas contas”, admitiu fonte oficial da empresa. Ainda em Outubro, um milhão de dados sobre judeus asquenazes foram expostos num fórum de crimes informáticos. Os perfis foram depois vendidos por um preço que podia chegar aos dez dólares por conta (o equivalente a 9,27 euros).

Questionada sobre a origem destes ataques, a empresa apontou o dedos aos clientes, afirmando que os hackers podem ter-se aproveitado de contas cujas passwords foram reutilizadas, mesmo já tendo sido expostas em ataques anteriores noutros sites. Esta técnica chama-se “credential stuffing” e passa por recolher os dados de login num site e testá-los noutras páginas, uma vez que muitas pessoas utilizam as mesmas palavras-passe para propósitos diferentes.