Investigación conjunta de los organismos reguladores de privacidad del Reino Unido y Canadá sobre la violación de datos de 23andMe
Los organismos reguladores de privacidad en el Reino Unido y Canadá han lanzado una investigación conjunta sobre la violación de datos en 23andMe el año pasado.
El lunes, la Oficina del Comisionado de Información (ICO) del Reino Unido y la Oficina del Comisionado de Privacidad de Canadá (OPC) anunciaron su investigación sobre la empresa de pruebas genéticas, diciendo que las organizaciones aprovecharán 'los recursos combinados y la experiencia de sus dos oficinas'.
El año pasado, 23andMe reveló un incidente de seguridad que afectó los datos genéticos y de ascendencia de 6.9 millones de usuarios, aproximadamente la mitad de su base de usuarios. En sus avisos de violación de datos, la compañía dijo que no detectó las actividades de los hackers durante alrededor de cinco meses, desde abril hasta septiembre de 2023. 23andMe dijo que solo se enteró de las violaciones de cuentas en octubre de 2023, cuando los hackers anunciaron los datos robados en el subreddit no oficial de 23andMe y en un foro de hacking conocido.
Los datos robados incluían el nombre de la persona, año de nacimiento, etiquetas de relaciones, el porcentaje de ADN compartido con parientes, informes de ascendencia y ubicación autoinformada.
Los hackers irrumpieron en alrededor de 14,000 cuentas de clientes de 23andMe reutilizando sus contraseñas de violaciones anteriores, una técnica conocida como rociado de contraseñas. De esas 14,000 cuentas, los hackers pudieron obtener información sobre millones de otras personas debido a una función de suscripción llamada Parientes de ADN, que permitía a los usuarios compartir automáticamente parte de sus datos con otras personas que también habían optado por ello, con el objetivo de descubrir parientes lejanos. Así es como los hackers pudieron obtener información sobre 6.9 millones de usuarios solo hackeando 14,000 cuentas.
En un comunicado, el Comisionado de ICO John Edwards dijo que las personas 'necesitan confiar en que cualquier organización que maneje su información personal más sensible tenga la seguridad y las salvaguardias adecuadas en su lugar'.
'Esta violación de datos tuvo un impacto internacional, y esperamos colaborar con nuestros homólogos canadienses para garantizar que la información personal de las personas en el Reino Unido esté protegida', dijo Edwards.
La investigación conjunta entre el Reino Unido y Canadá investigará la cantidad de información expuesta y el daño potencial a las víctimas; si 23andMe 'tenía salvaguardias adecuadas' para proteger los datos sensibles de los usuarios; y si 23andMe 'proporcionó una notificación adecuada' a la ICO y la OPC.
Los portavoces de 23andMe no respondieron de inmediato a una solicitud de comentarios.
