A principios de esta semana, 23andMe admitió que un hack de octubre fue dramáticamente peor de lo que la compañía admitió inicialmente, afectó a 6,9 millones de personas, no las 14.000 que informó primeramente. 23andMe siguió con un regalo de Navidad anticipado para usuarios: una actualización de términos de servicio que canaliza a los usuarios descontentos hacia un proceso de arbitraje masivo en lugar de una demanda colectiva. Los datos robados incluyen nombres completos, información genética y más, pero a pesar de la sensibilidad de la información , algunos consumidores respondieron encogiéndose de hombros. Usuario de TikTok comentó un vídeo sobre el tema, ¿Qué van a hacer para clonarme?»
Los piratas informáticos probablemente no usarán la información de su ADN para convertirlo en un hermanito bebé crecido en el laboratorio, pero los expertos están de acuerdo: este truco es una catástrofe.
“La verdad es que ninguno de nosotros conoce plenamente las implicaciones de esta violación hoy, sólo la certeza de que empeorará con el tiempo. tiempo”, dijo Albert Fox Cahn, Director Ejecutivo del Proyecto de Supervisión de Tecnología de Vigilancia. “La capacidad de convertir los datos de ADN en armas solo crecerá más agudo a medida que las computadoras se vuelven más poderosas. Desde nuestros perfiles de salud hasta nuestros árboles genealógicos y detalles mucho más sutiles de nuestra biología, este truco podría potencialmente revelar mucho”.
Según un portavoz de 23andMe, los piratas informáticos robaron datos, incluidos los nombres de las personas, el año de nacimiento, las etiquetas de relación, el apellido y la ubicación. millones de personas que optaron por Familiares de ADN también “tuvieron acceso a la información del perfil de su árbol genealógico”. Sin embargo, lo peor fue la información genética . Los piratas informáticos no solo robaron información sobre el porcentaje de usuarios de ADN compartido con familiares, sino que 23andMe también filtró informes de ascendencia y ADN coincidente. segmentos (específicamente,en qué parte de sus cromosomas ellos y sus familiares tenían ADN coincidente).
Parece que estos datos ya están a la venta. cableado Informó en octubre que un usuario había anunciado datos robados de 23andMe en un conocido foro de piratería en el momento de la violación de datos. El usuario publicó los supuestos datos de un millón de usuarios de ascendencia judía askenazi y 100.000 usuarios chinos de 23andMe como prueba y pidió 1 dólar para $10 por persona en el conjunto de datos.
En general, las empresas tienen la obligación legal de proteger a sus clientes de las filtraciones de datos. En otras circunstancias, el hackeo de 23andMe podría exponer a la empresa a demandas, pero eso se arregla gracias a una “cláusula de arbitraje en sus términos de servicio que obliga a renunciar su derecho a demandar. La compañía publicó una actualización de los términos de servicio la semana pasada (casualmente, aproximadamente en el momento en que notificó a Securities and Exchange Comisión de su debacle de hacking ) que esboza un nuevo proceso de “arbitraje masivo”, que significa que los usuarios con la misma queja contra 23andMe no poder buscar restitución individualmente.
“Los nuevos TOS incluyen una disposición de arbitraje masivo que permite una resolución más eficiente de las disputas”, dijo a Gizmodo un portavoz de 23andMe. no respondió a otras preguntas relacionadas con este artículo.
Los usuarios pueden optar por no participar en la nueva disposición de arbitraje enviando un correo electrónico [email protected] antes del 4 de enero.
Para muchos, es difícil comprender exactamente por qué es importante que todos estos datos floten en Internet. todo el tiempo, sin mencionar los billones de puntos de datos que compañías como Google y Meta aspiran a través de medios más “legítimos”.
El problema, dicen los expertos, es que rara vez sientes las consecuencias directamente. Tu información personal se utiliza de maneras complicadas y oscuras para todo tipo de propósitos a puertas cerradas. Tiene efectos dramáticos en su vida, simplemente nunca se sabe qué datos son responsables de cualquier dilema en particular .
“Acercándose al sistema más amplio de elaboración de perfiles comerciales, a veces realmente tiene un impacto en la pérdida de oportunidades”, Suzanne Bernstein, becaria de derecho en la Centro de información de privacidad electrónica, le al a Gizmodo. “Los datos que se recopilan de usted determinan lo que se o o no ofertado . Eso puede ser algo inocuo,como qué anuncios objetivo ves o qué correos electrónicos masivos recibes, pero también permite la discriminación”.
En el pasado, los datos de los consumidores se han utilizado para excluir ciertos datos demográficos de las oportunidades de empleo o de los apartamentos vacantes. La información personal que circula por el Internet se utiliza en decisiones de contratación y solicitudes de crédito, las compañías de seguros incluso lo utilizan para fijar primas. Y, por supuesto, cuanto más detallado Cuanto más información puedan desenterrar los delincuentes, mayor será la probabilidad de que usted sea víctima de un robo de identidad.
La información genética puede parecer desconectada de estos problemas, pero no lo es.
No se puede cambiar la información genética, por lo que es sensible en sí misma, afirmó Bernstein. “Pero también se puede utilizar para hacer inferencias sobre otra información de salud, como un diagnóstico o un historial médico familiar”, dijo. “Existe un riesgo grave de que eso se convierta en parte del perfilado que ocurre en el ecosistema más amplio».
Y que sólo los factores en las formas en que conocemos la información del ADN pueden usarse hoy en día. La ciencia genética es un campo en rápido desarrollo. No se sabe qué podría revelar esta información en el futuro.
“La privacidad y la vigilancia son fuertemente contextuales y, a medida que se desarrollan nuevas tecnologías de análisis, focalización y vigilancia genética, el contexto en torno a la privacidad de los datos genéticos y la vigilancia cambiará enormemente en formas que muchas personas ahora no pueden prever”, afirmó Justin Sherman, miembro de último año de la Escuela de Ciencias Sanford de Duke. Public Policy y fundador de Global Cyber Strategies.
23andMe no llegó a abdicar por completo de su responsabilidad, pero sus declaraciones públicas sobre el hackeo tienen un aire de culpar a la víctima. Un portavoz dijo la vulneración de datos se debió a que personas reciclaron contraseñas que habían usado en otras cuentas. Aparentemente, los piratas informáticos utilizaron contraseñas que se filtraron en otros lugares para ingresar 14.000 cuentas de personas, una simple violación de seguridad conocida como relleno de credenciales.
Porque 23andMe está diseñado como un panóptico de recolección de datos que presiona a los clientes para que compartan sus datos con todos, desde otros usuarios hasta los socios de la empresa. En la industria farmacéutica, los piratas informáticos pudieron utilizar estas 14.000 cuentas comprometidas para robar información sobre millones de otras personas en la plataforma. .
Reutilizar contraseñas es buscar problemas, pero los profesionales de seguridad entienden que las malas prácticas con contraseñas son una garantía. Según los expertos, el truco de 23andMe fue fácilmente prevenible.
Al menos, “es inaceptable que 23andMe haya olvidado requerir la autenticación de dos factores (2FA) para el acceso a la cuenta”, dijo Patrick Jackson, jefe de tecnología. Oficial de Disconnect, una empresa de seguridad digital. “Los atacantes a menudo apuntan a sitios con datos confidenciales, como 23andMe, especialmente aquellos sin 2FA requerida, haciendo los vulneran a los ataques de relleno de credenciales».
Corrección: Una versión anterior de este artículo indicaba incorrectamente que 23andMe introdujo el arbitraje vinculante en sus términos de servicio. De hecho, modificó las política existente para incluir el arbitraje masivo. Además, este artículo establece que los clientes tienen hasta el 30 de diciembre para optar por no participar; la fecha correcta es 4 de enero.
