Αποδεικνύεται ότι 6.9 εκατομμύρια χρήστες της 23andMe είχαν τα δεδομένα τους εκτεθειμένα σε χάκερς, πολύ περισσότεροι από τους 14.000 που ανέφερε αρχικά η εταιρεία.
Η 23andMe παρείχε το πλήρες εύρος μετά την κατάθεση στο χρηματιστήριο της εταιρείας που φάνηκε να υποβαθμίζει το περιστατικό του Οκτωβρίου, λέγοντας ότι ο χάκερ έκλεψε μόνο ονόματα χρηστών και συνδυασμούς κωδικών πρόσβασης από το 0.1% της συνολικής βάσης χρηστών της.
Όμως, σε δήλωσή της, η εταιρεία παροχής κιτ εξέτασης DNA δήλωσε ότι ο χάκερ είχε στην πραγματικότητα πρόσβαση σε εκατομμύρια επιπλέον προφίλ χρηστών. Ο λόγος: οι 14.000 παραβιασμένοι λογαριασμοί παρείχαν πρόσβαση σε άλλα προφίλ, αξιοποιώντας μια προαιρετική λειτουργία που σας επιτρέπει να βρείτε και να συνδεθείτε με τους "συγγενείς DNA" σας.
Αυτό επέτρεψε στον χάκερ να αποκτήσει πρόσβαση σε περίπου 5,5 εκατομμύρια προφίλ μέσω της λειτουργίας "DNA Relatives", η οποία μπορεί να αποκαλύψει το πλήρες όνομα ενός ατόμου, το ποσοστό του κοινού DNA, αναφορές προγόνων, τμήματα DNA που ταιριάζουν, και το έτος γέννησης, μεταξύ άλλων λεπτομερειών.
Επιπροσθέτως, ο χάκερ ήταν σε θέση να αποκτήσει πρόσβαση στις πληροφορίες του προφίλ "Family Tree" σε άλλους 1.4 εκατομμύρια χρήστες που επίσης επέλεξαν τη λειτουργία DNA Relatives. Ένα προφίλ "Family Tree" θα μπορούσε να περιλαμβάνει το όνομα του χρήστη, το έτος γέννησης και την τοποθεσία που δήλωσε ο ίδιος, εφόσον είχε συμπληρωθεί.
"Βρισκόμαστε στη διαδικασία ενημέρωσης των πελατών που επηρεάζονται και έχουμε λάβει μέτρα για την περαιτέρω προστασία των δεδομένων των πελατών, συμπεριλαμβανομένης της απαίτησης από όλους τους υφιστάμενους πελάτες να επαναφέρουν τον κωδικό πρόσβασής τους και της απαίτησης επαλήθευσης δύο βημάτων για όλους τους νέους και υφιστάμενους πελάτες", δήλωσε ο εκπρόσωπος της 23andMe.
Το περιστατικό ήρθε στο φως της δημοσιότητας αφού ένας χάκερ προσπάθησε να πουλήσει και να διαρρεύσει τις κλεμμένες πληροφορίες 7 εκατομμυρίων χρηστών σε ένα underground φόρουμ. Μετά την αρχική έρευνα, η 23andMe δεν διαπίστωσε καμία άμεση παραβίαση των συστημάτων της εταιρείας- μάλλον, ο χάκερ φαίνεται ότι λεηλάτησε τις πληροφορίες χρησιμοποιώντας κλεμμένους κωδικούς πρόσβασης για να εισέλθει σε ένα μικρό υποσύνολο προφίλ. Η λειτουργία DNA Relatives της 23andMe επέτρεψε στη συνέχεια στον χάκερ να αποσπάσει πληροφορίες από πολυάριθμα πρόσθετα προφίλ.
Δεν είναι σαφές γιατί η 23andMe δεν ανέφερε την πλήρη έκταση του περιστατικού στην κατάθεση της περασμένης Παρασκευής στο χρηματιστήριο. Ένας εκπρόσωπος πρότεινε μόνο ότι ο αριθμός των 14.000 παραβιασμένων λογαριασμών χρηστών στην κατάθεση του χρηματιστηρίου είναι διαφορετικός από τα 6.9 εκατομμύρια χρήστες που υπέστησαν απόσπαση των δεδομένων τους.