Σήμερα υπάρχουν πολλές ιδιωτικές εταιρείες παροχής γενετικών αναλύσεων απ’ ευθείας στον καταναλωτή, που χάρη στις εντυπωσιακές εξελίξεις στην τεχνολογία του DNA, ασχολούνται με τη γενετική ανάλυση και παρέχουν πληροφορίες για το ιστορικό της καταγωγής ενός ατόμου. Βέβαια τα εκατομμύρια πελατών των εταιρειών αυτών δεν πείθονται ότι πρόκειται απλώς για «ψυχαγωγική» γενετική και στέλνουν ταχυδρομικά δείγμα σάλιου ή αίματος, μαζί με στοιχεία τους.
Την περασμένη Παρασκευή, η εταιρεία γενετικών δοκιμών “23andMe:DNA Genetic testing for Health, Ancestry and More” ανακοίνωσε ότι χάκερ είχαν ήδη πρόσβαση στα προσωπικά δεδομένα του 0,1% των πελατών, ή περίπου 14.000 ατόμων.
Η εταιρεία είπε επίσης ότι με την πρόσβαση σε αυτούς τους λογαριασμούς, οι χάκερ μπόρεσαν επίσης να έχουν πρόσβαση και σε «ένα σημαντικό αριθμό αρχείων που περιείχαν πληροφορίες προφίλ σχετικά με την προγονική ταυτότητα άλλων χρηστών». Αλλά το 23andMe δεν θα πει πόσοι «άλλοι χρήστες» επηρεάστηκαν από την παραβίαση που αποκάλυψε αρχικά η εταιρεία στις αρχές Οκτωβρίου. Όπως αποδεικνύεται, υπήρχαν πολλοί «άλλοι χρήστες» που έπεσαν θύματα αυτής της παραβίασης δεδομένων. Περίπου 6,9 εκατομμύρια άτομα φαίνεται πως επηρεάζονται συνολικά.
Σε ένα email που εστάλη στο περιοδικό TechCrunch αργά το Σάββατο, η εκπρόσωπος του 23andMe, Katie Watson, επιβεβαίωσε ότι οι χάκερ είχαν πρόσβαση στις προσωπικές πληροφορίες περίπου 5,5 εκατομμυρίων ανθρώπων που συμμετείχαν στην υπηρεσία DNA Relatives του 23andMe, η οποία επιτρέπει στους πελάτες να διαμοιράζονται αυτόματα ορισμένα από τα δεδομένα τους με άλλους για να βρουν άλλα άτομα με γενετική συγγένεια. Τα κλεμμένα δεδομένα περιλάμβαναν το όνομα του ατόμου, το έτος γέννησης, το είδος των σχέσεων, το ποσοστό του DNA που μοιράζονταν με συγγενείς, αναφορές καταγωγής και την τοποθεσία.
Το 23andMe επιβεβαίωσε επίσης ότι μια άλλη ομάδα περίπου 1,4 εκατομμυρίων ατόμων που συμμετείχαν στο DNA Relatives «είχαν επίσης πρόσβαση στις πληροφορίες του “Family Tree” που περιλαμβάνουν ονόματα, σχέσεις, έτος γέννησης και τοποθεσία που ανέφερε ο χρήστης. Δεν είναι επίσης γνωστό γιατί η 23andMe δεν μοιράστηκε αυτούς τους αριθμούς κατά την αποκάλυψή της την Παρασκευή.
Λαμβάνοντας υπόψη τα νούμερα, στην πραγματικότητα, η παραβίαση δεδομένων επηρεάζει περίπου τους μισούς από τους συνολικά αναφερόμενους 14 εκατομμύρια πελάτες της εταιρείας.
Στις αρχές του περασμένου Οκτωβρίου, ένας χάκερ ισχυρίστηκε σε μια ανάρτηση σε γνωστό φόρουμ για χάκερς, ότι έκλεψε πληροφορίες για το DNA των χρηστών του 23andMe.
Ως απόδειξη της παραβίασης, ο χάκερ δημοσίευσε τα υποτιθέμενα δεδομένα ενός εκατομμυρίου χρηστών εβραϊκής καταγωγής Ασκενάζι και 100.000 Κινέζων χρηστών, ζητώντας από τους επίδοξους αγοραστές από 1 έως 10 δολάρια για τα δεδομένα ανά μεμονωμένο λογαριασμό. Δύο εβδομάδες αργότερα, ο ίδιος χάκερ διαφήμισε τα υποτιθέμενα αρχεία άλλων τεσσάρων εκατομμυρίων ανθρώπων στο ίδιο φόρουμ για χάκερς.
Το TechCrunch διαπίστωσε ότι ένας άλλος χάκερ σε ένα ξεχωριστό φόρουμ είχε ήδη διαφημίσει μια παρτίδα φερόμενων κλεμμένων δεδομένων πελατών του 23andMe δύο μήνες πριν από την ευρέως αναφερόμενη διαφήμιση.
Στην αποκάλυψη του περιστατικού τον Οκτώβριο, η 23andMe είπε ότι η παραβίαση δεδομένων προκλήθηκε από πελάτες που επαναχρησιμοποίησαν κωδικούς πρόσβασης, κάτι που επέτρεψε στους χάκερς να παραβιάσουν τους λογαριασμούς