Il data breach di 23andMe diventa sempre più spaventoso
Il data breach di 23andMe potrebbe cambiare il modo in cui le informazioni trapelate vengono utilizzate su Internet e potrebbe influenzare gli individui in futuro.
.webp)
Il recente data breach di 23andMe si sta rivelando sempre più preoccupante. L'attacco ha colpito 6,9 milioni di persone anziché le 14.000 inizialmente riportate e ha compromesso informazioni sensibili come nomi completi, date di nascita e informazioni genetiche. I dati rubati sono già in vendita sul mercato nero, con alcune etnie che vengono specificamente prese di mira. Nel frattempo, 23andMe ha aggiornato le sue condizioni di servizio per impedire alle persone di intentare cause collettive. Gli esperti avvertono che questo tipo di violazione dei dati può portare a discriminazioni implicite e furto di identità .
Il data breach di 23andMe, avvenuto a ottobre, è stato confermato come molto peggiore rispetto a quanto inizialmente riportato, coinvolgendo 6,9 milioni di persone anziché i 14.000 utenti pensati inizialmente. Le informazioni rubate nel data breach includevano nomi completi degli utenti, anni di nascita, etichette di parentela e posizioni. Circa 1,4 milioni di utenti hanno avuto compromesse anche le informazioni sul profilo dell'albero genealogico. Secondo un portavoce, gli hacker hanno potuto accedere anche alle informazioni genetiche nel data breach, inclusi dettagli su percentuali di DNA comuni con parenti e dettagli come l'abbinamento dei cromosomi.
Secondo i rapporti, questi dati sono già stati messi in vendita sul mercato nero, con diversi gruppi etnici già presi di mira e attori malevoli che vendono le informazioni di una singola persona per 1-10 dollari all'interno di un set di dati. Nel frattempo, il sito web di tracciamento dell'ascendenza sembra cercare di coprire le proprie tracce, avendo inviato rapidamente agli utenti degli aggiornamenti dei termini di servizio, nei quali si specifica che eventuali controversie legali su questa questione devono essere risolte al di fuori del tribunale. Ciò impedirebbe agli utenti di intentare una causa collettiva come azione principale a meno che non optino per una risoluzione privata.
Se gli utenti desiderano intentare una causa collettiva, devono rinunciare collettivamente a una controversia privata e possono farlo inviando una e-mail a arbitrationoptout@23andme.com entro 30 giorni dall'aggiornamento, che è il 30 dicembre. Queste informazioni sono dettagliate alla fine della quinta sezione dell'aggiornamento dei termini di servizio di 23andMe, come riportato da Gizmodo.
In una dichiarazione sulla questione, 23andMe ha cercato di scaricare ulteriormente la responsabilità , spiegando che il data breach è avvenuto perché i membri hanno riutilizzato password da altri account. Questo comune attacco informatico, noto come credential stuffing, ha permesso agli hacker di raccogliere password già trapelate per accedere ai primi 14.000 account. Da lì, sono stati in grado di spaziare attraverso un numero maggiore di database dell'azienda per rubare informazioni, secondo un portavoce.
Attualmente, le prime implicazioni del data breach non sono conosciute, ma diventeranno sicuramente evidenti nel tempo. Gli esperti hanno sottolineato che anche quando la raccolta di dati dei consumatori online è legale, c'è il potenziale per un bias implicito che può influenzare le decisioni di assunzione, la selezione di appartamenti, le richieste di credito e le tariffe assicurative. Nei casi illegali, può verificarsi il furto di identità .
È importante notare che Meta (ex Facebook) ha risolto una causa collettiva da 725 milioni di dollari a aprile, nella quale si affermava che la piattaforma di social media aveva lasciato i dati degli utenti e dei loro amici esposti a terzi per scopi di lucro. La causa aggiungeva che Facebook non aveva regole o protezioni della privacy in atto per regolare l'interazione dei terzi con i dati degli utenti.
Il data breach di 23andMe ha un potenziale simile per far sì che i dati genetici finiscano nelle mani sbagliate e vengano utilizzati per trarre deduzioni sugli individui basate su informazioni sulla salute, come una diagnosi o la storia medica familiare, ha dichiarato Suzanne Bernstein, membro del Electronic Privacy Information Center.
Mentre gli utenti dell'azienda non avevano una buona igiene delle password, altri esperti fanno notare che un'organizzazione così di nicchia come 23andMe dovrebbe rendersi conto della sua posizione dal punto di vista della sicurezza informatica. Ospitare dati così sensibili rende l'azienda un bersaglio privilegiato per gli attacchi informatici e necessita di requisiti di accesso di backup, come l'autenticazione a due fattori (2FA).
.webp)
.webp)
.webp)
.webp)
.webp)
.webp)