Noticias del Mundo

La violación de datos de 23andMe continúa aumentando

23andMe sostiene que los atacantes utilizaron una técnica llamada relleno de credenciales para comprometer 14.000 cuentas de usuarios, encontrando casos en los que las credenciales de inicio de sesión filtradas de otros servicios se reutilizaron en 23andMe. Después del incidente, la empresa obligó a todos los usuarios a restablecer sus contraseñas y comenzó a exigir autenticación en dos pasos para todos los clientes. En las semanas posteriores a que 23andMe revelara inicialmente su infracción, también se revelaron otros servicios similares. Empresas como Ancestry y MyHeritage también han comenzado a promover o exigir la autenticación de dos factores para sus cuentas.

Sin embargo, Wired presionó a 23andMe en octubre y nuevamente esta semana, y descubrió que la violación de la cuenta de usuario solo podía atribuirse a un ataque de relleno de credenciales. La compañía se ha negado repetidamente a hacer comentarios, pero varios usuarios señalaron que confiaban en que los nombres de usuario y contraseñas de sus cuentas 23andMe eran únicos y era poco probable que quedaran expuestos en otro lugar en otra infracción.

Sin embargo, al menos en un caso, 23andMe finalmente proporcionó a los usuarios una explicación. El martes, el jefe de ciberseguridad de la NSA, Rob Joyce, señaló en su cuenta personal: «Esta es única y no una cuenta que pueda ser robada de la web u otros sitios», escribió Joyce, creando una dirección de correo electrónico única para cada empresa que utilizó para crear cuentas. «La cuenta no se usó en ningún otro lugar y no se completó con éxito», escribió, y agregó: «Opinión personal: el truco de @23andMe es aún peor que lo que tienen en su nuevo anuncio».

Artículo Recomendado:  Frank R James, hombre perseguido por la policía, ha dejado una serie de videos inquietantes en línea

Horas después de que Joyce planteara públicamente estas preocupaciones (Wired preguntó a 23andMe sobre su caso), Joyce dijo que la compañía se había puesto en contacto con él para determinar qué pasó con su cuenta. Joyce usó una dirección de correo electrónico única para su cuenta 23andMe, pero la compañía se asoció con MyHeritage en 2014 y 2015 para mejorar la función de «árbol genealógico» de DNA Relatives, que Joyce dijo que utilizó posteriormente. Luego, MyHeritage sufrió una violación de datos en 2018, cuando la dirección de correo electrónico única de Joyce, 23andMe, aparentemente quedó expuesta. Añadió que debido a que utilizó contraseñas seguras y únicas para sus cuentas MyHeritage y 23andMe, los atacantes no vulneraron ninguna de las cuentas.

La anécdota destaca los riesgos de compartir datos de usuarios entre empresas y funciones de software que facilitan el intercambio social cuando la información involucrada es profundamente personal y está directamente relacionada con la identidad. Es posible que una gran cantidad de usuarios afectados no aparezcan en el informe de la SEC porque 23andMe (como muchas empresas que sufren violaciones de seguridad) no quiere que los datos extraídos se incluyan en la categoría de datos violados. Sin embargo, estas descripciones en última instancia dificultan que los usuarios comprendan la escala y el impacto de los incidentes de seguridad.

«Creo firmemente que la inseguridad cibernética es fundamentalmente una cuestión de política», dijo Brett Callow, analista de amenazas de la firma de seguridad Emsisoft. «Necesitamos leyes estandarizadas y uniformes de divulgación e información, que dichas divulgaciones e informes utilicen un lenguaje prescriptivo, supervisión de negociadores y concesión de licencias. Muchas cosas suceden en las sombras o quedan ocultas por palabras maliciosas, lo que es contraproducente y sólo ayuda a los ciberdelincuentes”.

Artículo Recomendado:  El líder ucraniano predice más descubrimientos aterradores por delante

Mientras tanto, Kendra Fee, aparente usuaria de 23andMe, dijo el martes que 23andMe está notificando a los clientes sobre los cambios en sus términos de servicio con respecto a la resolución de disputas y el arbitraje. La compañía dijo que los cambios «fomentarían la resolución rápida de cualquier disputa» y «agilizarían el proceso de arbitraje cuando se presenten múltiples reclamos similares». Los usuarios pueden negarse a aceptar los nuevos términos notificando a la Compañía dentro de los 30 días posteriores a la recepción de la notificación de los cambios.

Actualizado a las 10:35 p.m. ET del 5 de diciembre de 2023, con nueva información sobre la cuenta 23andMe del director de ciberseguridad de la NSA, Rob Joyce, y el impacto más amplio de su experiencia.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba