Le autorità per la privacy del Regno Unito e del Canada hanno avviato un’indagine congiunta per esaminare l’entità delle informazioni sensibili esposte nella violazione dei dati di 23andMe avvenuta nell’ottobre 2023. Questo attacco ha comportato la vendita di 13 milioni di dati degli utenti sul dark web, inclusi informazioni sull’origine, fenotipo, salute, foto, dati identificativi e altri dati dell’account.
Dettagli della violazione
La violazione ha esposto dati personali di milioni di utenti, tra cui:
- Dati Esposti: Informazioni sull’origine etnica, fenotipo, salute, foto, dati identificativi, dati grezzi e altre informazioni sugli account.
- Utenti Compromessi: 1 milione di persone di origine ashkenazita, oltre 300.000 utenti di discendenza cinese e 4,1 milioni di persone nel Regno Unito.
Questi dati sono estremamente sensibili e non cambiano nel tempo, il che li rende preziosi per i malintenzionati che possono utilizzarli per furti d’identità, attacchi di phishing e altre attività illecite.
Reazione delle Autorità
L’Information Commissioner’s Office (ICO) del Regno Unito e l’Office of the Privacy Commissioner of Canada (OPC) stanno conducendo un’indagine per valutare se 23andMe abbia implementato misure di sicurezza adeguate per proteggere i dati dei clienti. L’indagine esaminerà anche se la società ha notificato correttamente gli individui colpiti e le autorità di protezione dei dati come richiesto dalle leggi sulla privacy del Regno Unito e del Canada.
Commenti delle Autorità
- John Edwards, UK Information Commissioner: “Le persone devono fidarsi che qualsiasi organizzazione che gestisce le loro informazioni personali più sensibili abbia le adeguate misure di sicurezza e protezione in atto.“
- Philippe Dufresne, Privacy Commissioner of Canada: “Nelle mani sbagliate, le informazioni genetiche di un individuo potrebbero essere utilizzate in modo improprio per sorveglianza o discriminazione.”
Metodo di attacco e misure di sicurezza
In gennaio, 23andMe ha confermato che gli attaccanti hanno rubato i rapporti sanitari e i dati grezzi dei genotipi dei clienti durante un attacco di credential stuffing durato cinque mesi, dal 29 aprile al 27 settembre. Gli aggressori hanno utilizzato credenziali rubate da altre violazioni dei dati o piattaforme compromesse per violare gli account di 23andMe.
- Reazione dell’Azienda: 23andMe ha chiesto a tutti i clienti di reimpostare le password e ha abilitato l’autenticazione a due fattori (2FA) per tutti i nuovi ed esistenti clienti a partire dal 6 novembre.
Conseguenze Legali
A causa dell’incidente, sono state avviate diverse cause legali contro 23andMe, che ha aggiornato i propri Termini di Utilizzo per rendere più difficile per i clienti unirsi a cause legali collettive. Tuttavia, l’azienda ha dichiarato che le modifiche sono state apportate per rendere il processo di arbitrato più efficiente e accessibile.
L’indagine congiunta da parte delle autorità del Regno Unito e del Canada mira a garantire che le informazioni personali degli utenti siano adeguatamente protette e che le aziende rispettino le normative sulla protezione dei dati. È essenziale per le organizzazioni adottare misure di sicurezza robuste per prevenire violazioni dei dati e proteggere la privacy degli utenti.
