Vigilantes da privacidade no Reino Unido e no Canadá lançaram uma investigação conjunta sobre a violação de dados no 23andMe no ano passado.
Na segunda-feira, o Escritório do Comissário de Informações (ICO) do Reino Unido e o Escritório do Comissário de Privacidade do Canadá (OPC) anunciaram sua investigação na empresa de testes genéticos, dizendo que as organizações vão aproveitar "os recursos combinados e expertise de seus dois escritórios".
No ano passado, o 23andMe divulgou um incidente de segurança que afetou os dados genéticos e de ancestralidade de 6,9 milhões de usuários, ou cerca de metade de sua base total de usuários. Em seus avisos de violação de dados, a empresa disse que não detectou as atividades dos hackers por cerca de cinco meses, de abril até setembro de 2023. O 23andMe disse que só ficou ciente das violações de contas em outubro de 2023, quando os hackers anunciaram os dados roubados no subreddit não oficial do 23andMe e em um fórum de hacking conhecido.
Os dados roubados incluíam o nome da pessoa, ano de nascimento, rótulos de relacionamento, a porcentagem de DNA compartilhada com parentes, relatórios de ancestralidade e localização auto-relatada.
Os hackers invadiram cerca de 14.000 contas de clientes do 23andMe reutilizando suas senhas de violações anteriores, uma técnica conhecida como pulverização de senhas. A partir dessas 14.000 contas, os hackers foram capazes de coletar informações sobre milhões de outras pessoas devido a um recurso de adesão chamado Parentes de DNA, que permitia aos usuários compartilhar automaticamente alguns de seus dados com outras pessoas que também optaram por participar, com o objetivo de encontrar parentes distantes. Foi assim que os hackers conseguiram coletar informações sobre 6,9 milhões de usuários apenas hackeando 14.000 contas.
Em comunicado, o Comissário do ICO, John Edwards, foi citado dizendo que as pessoas "precisam confiar que qualquer organização que lide com suas informações pessoais mais sensíveis tenha a segurança e garantias adequadas em vigor".
"Essa violação de dados teve um impacto internacional, e esperamos colaborar com nossos colegas canadenses para garantir que as informações pessoais das pessoas no Reino Unido sejam protegidas", disse Edwards.
A investigação conjunta U.K.-Canadá examinará o escopo das informações expostas e o potencial dano às vítimas; se o 23andMe "teve salvaguardas adequadas" para proteger os dados sensíveis dos usuários; e se o 23andMe "forneceu notificação adequada" ao ICO e ao OPC.
Porta-vozes do 23andMe não responderam imediatamente a um pedido de comentário.
