La empresa de pruebas genéticas 23andMe investigada por hackeo
Los organismos de control de datos del Reino Unido y Canadá investigarán a la empresa de pruebas genéticas 23andMe por una violación de datos en octubre de 2023.
Los piratas informáticos obtuvieron acceso a información personal de 6,9 millones de personas, que en algunos casos incluían árboles genealógicos, años de nacimiento y ubicaciones geográficas, utilizando contraseñas antiguas de los clientes.
Una de las cosas que investigará el grupo de trabajo conjunto es si se han implementado salvaguardias adecuadas para proteger dichos datos.
«Tenemos la intención de cooperar con las solicitudes razonables de estos reguladores», dijo 23andMe en un comunicado.
Los datos robados en octubre no incluían registros de ADN.
23andMe es un gigante de la creciente industria del rastreo de antepasados y ofrece pruebas genéticas a partir de ADN, con análisis de ascendencia e información de salud personalizada.
La empresa no fue pirateada, sino que los delincuentes iniciaron sesión en alrededor de 14.000 cuentas individuales, o el 0,1% de los clientes, utilizando detalles de correo electrónico y contraseña previamente expuestos en otros ataques.
Los delincuentes descargaron no solo los datos de esas cuentas, sino también la información privada de todos los demás usuarios a los que tenían vínculos en los árboles genealógicos del sitio web.
En ese momento, 23andMe dijo que informó a los clientes afectados y les hizo cambiar sus contraseñas y actualizar la seguridad de la cuenta.
Según la Oficina del Comisionado de Información del Reino Unido (ICO), los datos almacenados por 23andMe «pueden revelar información sobre un individuo y sus familiares, incluso sobre su salud, origen étnico y relaciones biológicas».
Dijo que esto significa que es «esencial» que el público confíe en el servicio.
La investigación conjunta entre los organismos de control de datos analizará el tamaño del ataque y su daño potencial a los usuarios, así como si se implementaron salvaguardias adecuadas.
También analizará cómo 23andMe informó la infracción y si la empresa siguió los procesos correctos en el Reino Unido y Canadá.
«En las manos equivocadas, la información genética de un individuo podría ser utilizada indebidamente para vigilancia o discriminación», afirmó el comisionado de privacidad de Canadá, Philippe Dufresene.