Os dados de quase 7 milhões de clientes da 23andMe foram colocados à venda num fórum de hackers na Dark Web. A empresa norte-americana, especializada em análises genéticas a partir de amostras de saliva, já veio a público confirmar que está a investigar o sucedido.

Ainda na semana passada, uma conta na rede social X (antigo Twitter) alertou para a venda dos dados que, ao que tudo indica, contém informação de identificação e de saúde dos utilizadores, além de fotos e detalhes sobre a sua origem e fenótipo.

Quem colocou esta base de dados à venda afirma ter mais de 13 milhões de dados específicos. Ao ser notificada para esta situação, a 23andMe veio a público, indicando que estava a realizar uma investigação. “Não identificamos qualquer acesso não autorizado aos nossos sistemas”, afirmou a empresa em resposta na rede social X.

A 23andMe acredita que os hackers conseguiram aceder a contas através do uso de credenciais “recicladas”, isto é, que estavam a ser utilizadas tanto na plataforma da empresa como em outros websites que foram anteriormente comprometidos.

Segundo a empresa, os cibercriminosos recorreram a esta tática para acederem a contas sem autorização e obter informação, incluindo dados sobre os perfis “DNA Relatives”, no caso dos utilizadores que tinham ativado este serviço opcional. Através dele os utilizadores podem ser notificados caso sejam encontradas correspondências genéticas com outras pessoas.

Num comunicado publicado no seu website, a 23andMe reitera que não tem indicação de que houve um incidente de segurança nos seus sistemas, ou que a empresa foi mesmo a fonte das credenciais usadas nos ataques.

Mais recentemente, a empresa deu a conhecer que está a trabalhar com autoridades e especialistas forenses para investigar o sucedido. A 23andMe afirma que está a entrar em contacto com os seus clientes para atualizá-los em relação à investigação e para pedir que tomem medidas para reforçar a segurança, como mudar as passwords e ativar a autenticação multifactor.

Segundo informação avançada pelo website The Record, uma das bases de dados expostas contém informação sobre um milhão de utilizadores de ascendência judaica Ashkenazi que usavam o serviço DNA Relatives. Já outra inclui informação sobre 300.000 utilizadores de ascendência chinesa que também faziam parte do mesmo serviço.

Em declarações ao website Wired, Brett Callow, analista na empresa de segurança Emsisoft, afirma que o caso levanta sérias questões no que toca à forma como esta informação sensível é tratada pelas empresas.Este incidente realça os riscos associados às bases de ADN”, enfatiza.