Come ha fatto un gruppo di hacker a rubare i profili genetici di quasi 7 milioni di persone
Agli hacker è bastato inserire vecchie password per accedere alle informazioni genetiche di 6,9 milioni di persone. La società di test genetici 23andMe ha spiegato che i dati compromessi includono "le informazioni sugli antenati degli utenti, ma anche dati relativi alla salute basati sui profili genetici". Il portavoce della società ha poi aggiunto: “Non c'è stata alcuna segnalazione di uso inappropriato dei dati dopo la fuga di notizie”. I problemi, in realtà, sono iniziati a ottobre, quando 23andMe ha confermato che le informazioni di alcuni utenti erano in vendita sul dark web. Un hacker infatti aveva pubblicato un post dove spiegava di aver rubato 4 milioni di profili genetici “delle persone più ricche che vivono negli Stati Uniti e nell’Europa occidentale”.
La trappola degli hacker è semplicissima, hanno riutilizzato vecchi nomi utente e password da altri siti Web per entrare negli account dei clienti 23andMe, una tecnica rudimentale chiamata credential stuffing. “Abbiamo adottato misure per proteggere ulteriormente i dati dei clienti", ha spiegato l'azienda in un comunicato, "abbiamo chiesto a tutti di reimpostare la loro password e richiedere la verifica in due passaggi”.
L'attacco degli hacker
Gli hacker hanno violato 14.000 account registarti sulla piattaforma. Non solo, sono riusciti ad accedere anche sui profili collegati con i programmi DNA Relatives, utilizzato per rintracciare persone che condividono porzioni di DNA, e Family Tree per ricostruire il proprio albero genalogico. Sono riusciti così ad hackerare 6,9 milioni di porfili.
Non è la prima volta, gli hacker hanno già attaccato altre aziende che svolgono test del DNA, ma con 23andMe, per la prima volta, le informazioni sanitarie di una grande società sono state divulgate pubblicamente.
Discriminazione genetica
La pubblicazione di dati genetici può avere conseguenze gravi. Il Genetic Information Nondiscrimination Act (GINA) dal 2008 protegge le persone dalla discriminazione genetica La legge impedisce l'uso di informazioni genetiche nell'assicurazione sanitaria e nell'occupazione. Non solo, vieta agli assicuratori sanitari di negare la copertura a un individuo sano, o addebitare a quella persona premi più elevati basati esclusivamente su una predisposizione genetica allo sviluppo di una malattia in futuro. Impedisce inoltre ai datori di lavoro di utilizzare le informazioni genetiche per valutare assunzione, licenziamenti o promozioni.
