La violazione dei dati di 23andMe sta diventando sempre più spaventosa | ENBLE
La sempre più preoccupante violazione dei dati di 23andMe | ENBLE
La violazione dei dati di 23andMe, avvenuta ad ottobre, è stata confermata come molto più grave rispetto a quanto inizialmente riportato, coinvolgendo 6,9 milioni di persone anziché i primi 14.000 utenti ipotizzati.
Le informazioni rubate durante la violazione includono i nomi completi degli utenti, gli anni di nascita, le etichette delle relazioni e le posizioni geografiche. Circa 1,4 milioni di utenti hanno anche subito la compromissione delle informazioni sul profilo dell’albero genealogico. Secondo un portavoce, gli hacker avevano anche accesso alle informazioni genetiche, compresi dettagli percentuali di DNA comuni con parenti e specifiche come l’abbinamento cromosomico.
Si segnala che questi dati sono già stati messi in vendita nel mercato nero, con diversi gruppi etnici che sono stati già presi di mira e soggetti malintenzionati che vendono le informazioni di una singola persona per 1 a 10 dollari all’interno di un dataset. Nel frattempo, il sito web di tracciamento delle origini sembra cercare di coprire le proprie tracce, avendo inviato rapidamente agli utenti degli aggiornamenti dei termini di servizio, secondo i quali tutte le controversie legali relative a questa questione devono essere risolte al di fuori dei tribunali. Ciò impedirebbe agli utenti di intentare una causa collettiva come azione principale, a meno che non optino per una risoluzione privata.
Se gli utenti desiderano intentare una causa collettiva, devono rinunciare collettivamente a una disputa privata e possono farlo inviando un’email a arbitrationoptout@23andme.com entro 30 giorni dall’aggiornamento, ovvero entro il 30 dicembre. Questa informazione è dettagliata alla fine della quinta sezione dell’aggiornamento dei termini di servizio di 23andMe, come riportato da Gizmodo.
In una dichiarazione sulla questione, 23andMe ha cercato di scaricare ulteriormente la responsabilità, sostenendo che la violazione è avvenuta a causa del riuso di password da altri account. Questo attacco informatico comune, noto come “credential stuffing”, ha permesso agli hacker di utilizzare password precedentemente trapelate per accedere ai primi 14.000 account. Da lì, sono riusciti ad estendersi ulteriormente nel database dell’azienda per rubare informazioni, secondo un portavoce.
- I migliori monitor portatili che puoi acquistare
- Come questo rivenditore utilizza l’apprendimento automatico e...
- Anker 757 Powerhouse questa fantastica stazione di energia ora ha u...
Attualmente, le prime conseguenze della violazione non sono conosciute, ma diventeranno sicuramente evidenti col tempo. Gli esperti hanno evidenziato che anche quando la raccolta di dati dei consumatori online è legale, esiste il potenziale per un pregiudizio implicito che può influire sulle decisioni di assunzione, sulla scelta di un appartamento, sulle richieste di credito e sulle tariffe assicurative. Nei casi illegali, può verificarsi il furto di identità.
È da notare che Meta (precedentemente Facebook) ha risolto una causa collettiva da 725 milioni di dollari nell’aprile, in cui si affermava che la piattaforma di social media aveva lasciato i dati degli utenti e dei loro amici esposti a terze parti a fini di lucro. Nel ricorso si affermava che Facebook non aveva regole o protezioni della privacy per stabilire come le terze parti dovessero interagire con i dati degli utenti.
La violazione di 23andMe ha anche il potenziale di far finire dati genetici nelle mani sbagliate, che potrebbero essere utilizzati per fare deduzioni sugli individui in base alle informazioni sanitarie, come una diagnosi o la storia medica familiare, ha dichiarato Suzanne Bernstein, una legale dell’Electronic Privacy Information Center, alla pubblicazione.
Mentre gli utenti dell’azienda non avevano una buona igiene delle password, altri esperti fanno notare che un’organizzazione così di nicchia come 23andMe dovrebbe rendere conto della sua posizione dal punto di vista della cibersicurezza. Ospitare dati così sensibili rende l’azienda un bersaglio principale per gli attacchi informatici e necessita di requisiti di accesso di backup, come l’autenticazione a due fattori (2FA).
