La empresa de pruebas genéticas 23andMe investigó el hack

Los organismos de control de datos del Reino Unido y Canadá investigarán a la empresa de pruebas genéticas 23andMe por una violación de datos en octubre de 2023.

Los piratas informáticos pudieron acceder a la información personal de 6,9 ​​millones de personas, que en algunos casos incluían árboles genealógicos, años de nacimiento y ubicaciones geográficas, utilizando contraseñas antiguas de los clientes.

Una de las cosas que investigará el grupo de trabajo conjunto es si se han implementado salvaguardias adecuadas para proteger estos datos.

«Tenemos la intención de cooperar con las solicitudes razonables de estos reguladores», dijo 23andMe en un comunicado.

Los datos robados en octubre no incluían registros de ADN.

23andMe es un gigante en la creciente industria del rastreo de ascendencia y ofrece pruebas genéticas de ADN, con detalles de ascendencia e información de salud personalizada.

La empresa en sí no fue pirateada, sino que los delincuentes iniciaron sesión en alrededor de 14.000 cuentas individuales, o el 0,1% de los clientes, utilizando detalles de correo electrónico y contraseña previamente expuestos en otros ataques.

Los delincuentes no solo descargaron datos de esas cuentas, sino también información privada de todos los demás usuarios a los que tenían vínculos a través de árboles genealógicos en el sitio.

En ese momento, 23andMe dijo que notificó a los clientes afectados y les pidió que cambiaran sus contraseñas y actualizaran la seguridad de la cuenta.

Según la Oficina del Comisionado de Información del Reino Unido (ICO), los datos almacenados por 23andMe «podrían revelar información sobre el individuo y los miembros de su hogar, incluida información sobre su salud, origen étnico y relaciones biológicas».

Dijo que esto significaba que era «esencial» que el público confiara en el servicio.

La investigación conjunta entre los organismos de control de datos analizará la escala de la violación y el daño potencial que podría causar a los usuarios, así como si existen salvaguardas adecuadas.

También analizará cómo 23andMe informó del hackeo y si la empresa siguió los procesos correctos en el Reino Unido y Canadá.

«En las manos equivocadas, la información genética de un individuo puede ser utilizada indebidamente con fines de vigilancia o discriminación», afirmó el Comisionado de Privacidad canadiense, Philippe Dufresne.