Varias filtraciones de datos en 23andMe

Numerosas filtraciones de datos en 23andMe

Desde principios de agosto hasta octubre, la empresa de pruebas genéticas 23andMe y sus usuarios fueron objeto de publicaciones en la web oscura respecto a millones de perfiles de usuarios y registros de datos genéticos que ciberdelincuentes filtraron o violaron. Actores amenazantes han anunciado diversas colecciones de registros de datos provenientes de las filtraciones a la venta.

Según BleepingComputer, y en base a la información proporcionada por 23andMe, el actor amenazante accedió a algunas de las cuentas de usuario de la compañía a través de credential stuffing y luego recopiló los datos de los emparejamientos de ADN de sus parientes. Según 23andMe, la función de Parientes de ADN permite a los participantes conectarse con sus parientes genéticos. Identifica a los parientes y antepasados comunes recientes a través de comparaciones de ADN entre los participantes; luego, los usuarios pueden descargar sus datos.

Según el blog de 23andMe, la compañía cree que los criminales inyectaron credenciales reutilizadas de otras violaciones para acceder a las cuentas de sus usuarios. Según la misma publicación, 23andMe no tiene ninguna indicación de un incidente de seguridad de datos en sus sistemas, ni que haya sido la fuente de las credenciales de cuenta utilizadas en estos ataques.

En una publicación del blog de DarkOwl el 11 de agosto, un usuario con el seudónimo Dazhbog afirmó en el mercado de la web oscura Hydra tener 10 millones de registros de ADN de 23andMe a la venta. El autor del mensaje afirmó tener más de 300TB de datos, que vendería por 50 millones de dólares. DarkOwl es un proveedor de inteligencia de la darknet. Según el blog de DarkOwl, Dazhbog afirmó que el robo de los datos de usuario de 23andMe se produjo a través de un servicio de API utilizado por compañías farmacéuticas. En una publicación posterior el 14 de agosto, Dazhbog afirmó haber vendido todos los datos a un individuo iraní. Dazhbog no hizo más publicaciones.

• Construyendo un Resumidor de Texto TFIDF de Plataforma Cruzada en Rust
• Modelos de Lenguaje Grandes y Bases de Datos Vectoriales para Recomendaciones de Noticias
• IA en la industria de la música ¿Cómo dará forma al metaverso musical y a los sonidos del futuro?

Existe una aparente contradicción entre los informes de TechCrunch y DarkOwl, según los cuales el mercado Hydra estaba activo en agosto, y el informe de BBC News, que indica que las fuerzas del orden cerraron el mercado Hydra en abril. Sin embargo, según la historia de la BBC, las fuerzas del orden temían que esto no pusiera fin al grupo de ciberdelincuentes Hydra; a menos que pudieran encontrar y arrestarlos, probablemente tratarían de construir una nueva plataforma.

Según el artículo de TechCrunch y basado en su análisis, el conjunto de datos de la publicación Hydra del 11 de agosto coincidió con algunos registros de usuario filtrados la primera semana de octubre.

El 2 de octubre, un actor de amenazas que usa el alias Addka72424 publicó un enlace a una base de datos en el mercado dark web de BreachForums, según el artículo de BleepingComputer. La base de datos supuestamente contenía un millón de perfiles de usuarios de personas Ashkenazi de la firma de pruebas genéticas 23andMe. Addka72424 dijo que el enlace provenía de una publicación anterior del usuario Golem.

Según una publicación de RecordedFuture, el 3 de octubre el usuario Golem publicó una base de datos de 7 millones de archivos de usuarios de 23andMe en el sitio de BreachForums. Los enlaces de la base de datos publicada tenían 300,000 registros de personas de origen chino y otro millón de ascendencia Ashkenazi.

Según el artículo de BleepingComputer, en una publicación fechada el 4 de octubre, el usuario Golem de BreachForums afirmó tener datos que incluyen “agrupaciones étnicas personalizadas, conjuntos de datos individualizados, estimaciones de origen especificadas, detalles de haplogrupo, información fenotípica, fotografías, enlaces a cientos de posibles familiares y, lo más crucial, perfiles de datos brutos”. Un portavoz de 23andMe confirmó la validez de los datos, según el artículo de BleepingComputer.

Los actores de amenazas que descarguen o compren los datos robados podrían dirigirse a grupos étnicos con fraudes basados en el odio, phishing, estafas, robo de identidad o algo peor, según el experto en la dark web Luke Rodeheffer, un profesional de seguridad de la información certificado (CISSP) y fundador y CEO de AlphaCentauri Cyber, una firma de inteligencia de amenazas cibernéticas e investigaciones de la dark web.

Según TechCrunch, el actor de amenazas Golem publicó 4.1 millones de perfiles de datos adicionales el 17 de octubre. Según BleepingComputer, la nueva publicación de BreachForums contenía registros que incluyen personas en Gran Bretaña y Alemania. Según DailyMail, el actor de amenazas se dirigió al Reino Unido y Alemania por su apoyo a Israel.

El 2 de noviembre, en respuesta a una solicitud de comentarios, Andy Kill, director de comunicaciones de 23andMe, repitió las declaraciones de la divulgación de la compañía en su blog.

En el mismo blog de 23andMe sobre los datos filtrados, la empresa dijo que los usuarios deberían utilizar la autenticación de dos factores y no reutilizar contraseñas de otros sitios. La firma de pruebas genéticas sigue afirmando que no fue objeto de una violación de datos y que no hubo problemas internos del sistema o de seguridad.

Según la abogada Alessandra Messing, una consumidora de 23andMe afectada por el incidente, 23andMe no ha asumido el nivel de responsabilidad que debería, dada la naturaleza sensible de la información que recopila y analiza.

“Es un poco insensible haber tenido esta brecha y luego traspasar la responsabilidad a los consumidores y no asumir ninguna responsabilidad ni nivel de rendición de cuentas”, dijo Messing.

En una carta fechada el 20 de octubre y disponible en Senate.gov, el senador Bill Cassidy (LA-R), miembro destacado del Comité de Salud, Educación, Trabajo y Pensiones del Senado y médico, cuestionó a la CEO de 23andMe, Anne Wojcicki, sobre la brecha y le pidió responder antes del 3 de noviembre.

Las preguntas del senador hacían referencia a la filtración de datos de 1,3 millones de clientes ashkenazis y chinos, afirmando que 23andMe no había proporcionado una fecha ni detalles sobre cuándo los hackers criminales aprovecharon por primera vez una vulnerabilidad en sus sistemas. El senador señaló que la filtración ocurrió en un momento en que existe un creciente antisemitismo y odio anti-asiático en todo el mundo, y los criminales pueden obtener precios más altos por la información y aumentar la amenaza de potenciales malhechores. Cassidy siguió con 11 preguntas para 23andMe sobre cómo protegían la información del usuario y cómo fue posible la brecha.

Hay al menos 16 demandas colectivas propuestas en EE.UU. contra 23andMe como resultado de la brecha, según HealthcareInfoSecurity. En la demanda colectiva Tulchinsky v. 23andMe, inc., los abogados de Reese LLP afirman que la demanda fue presentada contra 23andMe por no asegurar y proteger la información personalmente identificable ( PII ) del demandante y los miembros de la clase almacenados en la red de información del demandado.

“La empresa de pruebas genéticas 23andMe tiene la obligación legal de proteger los datos según HIPAA, la CCPA, GDPR y otras regulaciones. Tiene la obligación legal de revelar a los inversores incidentes y riesgos que puedan afectar la viabilidad de sus inversiones”, dijo Paul Valente, CEO y co-fundador de VISO TRUST, una compañía de gestión de riesgo cibernético de terceros con inteligencia artificial.

“Los ataques masivos de contraseñas, como el stuffing y spraying, no son nada nuevos; han sido comunes durante casi una década. Para cualquier equipo de seguridad calificado, estos ataques no son ni imprevistos ni indetectables”, dijo Valente. “Si bien es fácil culpar de la compromisión de algunas cuentas a la reutilización de contraseñas y la posterior vulnerabilidad, exponer millones de cuentas al stuffing de contraseñas sería una clara señal de negligencia potencial”.

Según Adhiran Thirmal, ingeniero senior de soluciones en Security Compass, una empresa de diseño de software seguro, en última instancia, si una empresa es responsable de utilizar medidas internas de ciberseguridad que protejan los datos, independientemente de si los consumidores reutilizan contraseñas, es una pregunta que los tribunales deben decidir caso por caso.

Nadie ha confirmado si las credenciales que los actores amenazantes utilizaron en 23andMe provienen de brechas en otras organizaciones.

En cuanto a la demanda colectiva, según el expediente a través de https://dockets.justia.com/docket/california/candce/5:2023cv05369/419693, el caso fue presentado el 19 de octubre de 2023 en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California. La jueza encargada es Susan van Keulen. El 20 de octubre, el tribunal emitió una citación a 23andMe, Inc.

Se debe presentar una declaración de gestión del caso antes del 16 de enero de 2024, y se programó una conferencia inicial de gestión del caso para el 23 de enero.

David Geer es un periodista que se especializa en temas relacionados con la ciberseguridad. Escribe desde Cleveland, OH, EE. UU.

We will continue to update Zepes; if you have any questions or suggestions, please contact us!