Autorità di tutela della privacy del Regno Unito e del Canada indagano sulla violazione dei dati di 23andMe
Le autorità di tutela della privacy nel Regno Unito e in Canada hanno avviato un'indagine congiunta sulla violazione dei dati di 23andMe dello scorso anno.
Lunedì, l'Information Commissioner's Office (ICO) del Regno Unito e l'Ufficio del Commissario per la protezione della privacy del Canada (OPC) hanno annunciato la loro indagine sulla società di test genetici, dicendo che le organizzazioni sfrutteranno 'le risorse e l'esperienza combinate dei loro due uffici'.
L'anno scorso, 23andMe ha comunicato un incidente di sicurezza che ha coinvolto i dati genetici e relativi all'ascendenza di 6,9 milioni di utenti, ovvero circa la metà della sua base utenti complessiva. Nei suoi avvisi di violazione dei dati, l'azienda ha detto di non aver rilevato le attività degli hacker per circa cinque mesi, da aprile a settembre 2023. 23andMe ha detto di essere venuta a conoscenza delle violazioni degli account solo in ottobre 2023, quando gli hacker hanno pubblicizzato i dati rubati sul subreddit non ufficiale di 23andMe e su un noto forum di hacking.
I dati rubati includevano il nome della persona, l'anno di nascita, le etichette di parentela, la percentuale di DNA condivisa con parenti, rapporti di ascendente e la posizione auto-dichiarata.
Gli hacker sono riusciti a entrare in circa 14.000 account di clienti di 23andMe riutilizzando le loro password da violazioni precedenti, una tecnica nota come password spraying. Da quegli 14.000 account, gli hacker sono riusciti a estrarre informazioni su milioni di altre persone a causa di una funzionalità di opt-in chiamata DNA Relatives, che consentiva agli utenti di condividere automaticamente alcuni dei loro dati con altre persone che avevano optato-in, con l'obiettivo di scoprire parenti lontani. È così che gli hacker sono riusciti a estrarre informazioni su 6,9 milioni di utenti hackerando solo 14.000 account.
In una dichiarazione, il Commissario ICO John Edwards è stato citato dicendo che le persone 'devono fidarsi che qualsiasi organizzazione che gestisca le loro informazioni personali più sensibili abbia le adeguate misure di sicurezza e garanzie in atto'.
'Questa violazione dei dati ha avuto un impatto internazionale e attendiamo con impazienza di collaborare con i nostri omologhi canadesi per garantire che le informazioni personali delle persone nel Regno Unito siano protette', ha detto Edwards.
L'indagine congiunta Regno Unito-Canada esaminerà l'entità delle informazioni esposte e il potenziale danno per le vittime; se 23andMe 'ha avuto adeguate garanzie' per proteggere i dati sensibili degli utenti; e se 23andMe 'ha fornito una notifica adeguata' all'ICO e all'OPC.
Portavoce di 23andMe non ha risposto immediatamente a una richiesta di commento.
