23andMe, la rinomata società statunitense specializzata in genomica e biotecnologia, ha reso pubblica recentemente la conferma di un incidente di sicurezza che ha coinvolto il compromesso di dati sensibili di alcuni utenti. L’azienda ha fornito ulteriori dettagli sull’incidente, che ha visto un hacker ottenere informazioni da vari account utente e minacciare di vendere i dati genetici ottenuti a terzi.
Incidente di sicurezza su 23andMe: cosa sappiamo finora
L’hacker ha costretto 23andMe a rendere pubblico l’incidente, svelando che ha avuto accesso a circa lo 0,1 percento degli account utente, equivalente a circa 14.000 account su un totale di oltre 14 milioni di clienti globali dell’azienda. Tra questi, circa 5,5 milioni di individui, iscritti alla funzione DNA Relatives, hanno subito il compromesso dei loro dati, compresi nomi, anni di nascita, quantità di DNA condivisa con parenti e informazioni sull’albero genealogico. Altri 1,4 milioni hanno visto l’accesso ai dati del profilo dell’albero genealogico della loro famiglia.
TechCrunch ha sottolineato che 23andMe ha considerato “off background” alcune informazioni divulgate, senza concedere la possibilità di rifiutare i termini, sollevando interrogativi sulla trasparenza completa dell’azienda riguardo alla portata dell’incidente.
L’attacco è stato reso possibile dallo sfruttamento di credenziali di accesso precedentemente compromesse, un fenomeno noto come “credential stuffing“. In sostanza, gli hacker hanno sfruttato l’abitudine comune degli utenti di utilizzare le stesse credenziali su più siti web. Una volta ottenute le credenziali tramite un precedente compromesso, gli hacker hanno testato con successo queste combinazioni su 23andMe.
Le lezioni apprese dall’attacco a 23andMe
Questo incidente non solo solleva preoccupazioni sulla sicurezza dei dati sensibili coinvolti, come le informazioni genetiche personali, ma mette in luce anche la necessità critica per gli utenti di adottare pratiche di sicurezza online robuste, come l’uso di password uniche e complesse.
In conclusione, l’attacco subito da 23andMe sottolinea l’importanza di una sicurezza informatica rigorosa, specialmente quando si tratta di dati così personali e sensibili. Le aziende e gli utenti devono collaborare per rafforzare le misure di sicurezza e proteggere le informazioni che riguardano la privacy e la salute delle persone.