Uno o più hacker hanno avuto accesso a quasi 7 milioni di profili di clienti di 23andMe, ha dichiarato martedì alla CNN un portavoce dell'azienda di test genetici, includendo in alcuni casi i rapporti di ascendenza degli utenti, i codici di avviamento postale e gli anni di nascita. - Gli hacker hanno avuto accesso ai profili di quasi 7 milioni di clienti di 23andMe
In un documento presentato venerdì da 23andMe alla Securities and Exchange Commission si legge che circa lo 0,1% degli account degli utenti dell'azienda, ovvero circa 14.000, sono stati violati dagli hacker.
23andMe conferma questa cifra, ma ora dice ai giornalisti che gli hacker sono riusciti ad accedere a circa 5,5 milioni di profili che utilizzano una funzione dell'azienda chiamata DNA Relatives, che consente agli utenti di trovare parenti genetici. Inoltre, gli hacker hanno avuto accesso a un sottoinsieme di informazioni sull'albero genealogico di 1,4 milioni di profili DNA Relatives, ha dichiarato il portavoce di 23andMe in un comunicato inviato via e-mail.
Engadget, un'agenzia di notizie tecnologiche, ha riportato per primo l'impatto più ampio dell'hack.
Si tratta dell'ultimo hack che ha colpito una grande azienda statunitense e che ha avuto un impatto su un numero di persone molto maggiore di quello che le notizie iniziali suggerivano. Il mese scorso, la società di gestione delle identità Okta ha ammesso che gli hacker avevano rubato i dati di tutti gli utenti del sistema di assistenza clienti di Okta, dopo aver inizialmente riferito a settembre che meno dell'1% degli oltre 18.000 erano stati colpiti.
Nel caso di 23andMe, gli hacker hanno riutilizzato vecchi nomi utente e password di altri siti web per entrare negli account dei clienti di 23andMe - una tecnica rudimentale ma efficace chiamata credential stuffing.
Il portavoce di 23andMe, che ha rifiutato di essere nominato, non ha risposto alle domande su chi abbia effettuato l'hacking.
"23andMe ha completato le sue indagini, assistita da esperti forensi di terze parti. Stiamo provvedendo a informare i clienti interessati, come previsto dalla legge", si legge in una dichiarazione pubblicata sabato sera sul sito web dell'azienda. "Abbiamo adottato misure per proteggere ulteriormente i dati dei clienti, tra cui la richiesta a tutti i clienti esistenti di reimpostare la password e la verifica in due passaggi per tutti i clienti nuovi ed esistenti".
Leggi anche:
Fonte: edition.cnn.com