Na sexta-feira, a empresa de testes genéticos 23andMe anunciou que os hackers acederam diretamente aos dados pessoais de 0,1% dos seus clientes, ou cerca de 14.000 pessoas. A empresa disse ainda que, ao acessar essas contas, os hackers também conseguiram acessar “um grande número de arquivos contendo informações de perfis ancestrais de outros usuários”. Mas a 23andMe não revelou quantos “outros usuários” foram afetados pela vulnerabilidade, que a empresa divulgou originalmente no início de outubro. Acontece que muitos “outros utilizadores” foram vítimas desta violação de dados: um total de 6,9 ​​milhões de pessoas foram afetadas.

A porta-voz da 23andMe, Katie Watson, confirmou em um e-mail ao TechCrunch na noite de sábado que os hackers obtiveram acesso às informações pessoais de cerca de 5,5 milhões de pessoas que optaram pelo recurso de pesquisa relacionada ao DNA da 23andMe, que permite aos usuários compartilhar automaticamente alguns de seus dados com outras pessoas. Os dados roubados incluíam nomes individuais, anos de nascimento, etiquetas de relacionamento, proporção de DNA compartilhado com parentes, relatórios de ancestralidade e localização autodeclarada.

23andMe também confirmou que “informações de perfil da árvore genealógica também foram acessadas” para outro lote de cerca de 1,4 milhão de pessoas que optaram pelo DNARelatives, disse o porta-voz, que incluía nomes, etiquetas de relacionamento, anos de nascimento, locais autodeclarados e se o usuário decidiu compartilhar suas informações. (23andMe afirma que partes de seus e-mails são “informações básicas” e exigem que ambas as partes concordem antecipadamente com os termos relevantes).

Não ficou claro por que a 23andMe não divulgou os dados na sexta-feira. Levando em consideração os dados recém-adicionados, a violação de dados afetou, na verdade, cerca de metade do total de 14 milhões de clientes da 23andMe.

No início de outubro, um hacker postou em um conhecido fórum de hackers alegando ter roubado informações de DNA de usuários do 23andMe. Como prova da violação, o hacker divulgou dados supostamente de 1 milhão de usuários de ascendência judaica Ashkenazi e 100.000 usuários chineses, e pediu aos potenciais compradores que comprassem os dados por entre US$ 1 e US$ 10 por conta individual. Duas semanas depois, o mesmo hacker publicou os supostos registros de outros 4 milhões de pessoas no mesmo fórum hacker.

Mais tarde, outro hacker postou um anúncio de um lote de dados de clientes supostamente roubados da 23andMe em outro fórum de hackers, dois meses antes de ser amplamente divulgado.

Ao analisar dados vazados meses atrás, não é difícil encontrar registros que correspondam a dados genéticos postados online por amadores e genealogistas. Os dois conjuntos de informações estão em formatos diferentes, mas contêm alguns dos mesmos dados gerais e de usuário exclusivos, sugerindo que os dados vazados pelos hackers são, pelo menos parcialmente, dados reais de clientes da 23andMe.

Quando a 23andMe divulgou o incidente em outubro deste ano, disse que a violação de dados foi causada pela reutilização de senhas pelos clientes, o que permitiu que hackers usassem senhas expostas em violações de dados de outras empresas para forçar brutamente as contas das vítimas. Como o recurso DNARelatives combina os usuários com seus parentes, ao comprometer uma conta pessoal, os hackers podem ver os dados pessoais do titular da conta e de seus parentes, ampliando o número total de vítimas do 23andMe.