Los organismos de control de la privacidad en Gran Bretaña y Canadá iniciaron una investigación conjunta sobre la violación de datos en 23andMe el año pasado.

«Este es un tema que ya hemos discutido», dijeron el lunes la Oficina del Comisionado de Información de Gran Bretaña (ICO) y la Oficina del Comisionado de Privacidad de Canadá (OPC) en una declaración conjunta. anunció su investigación Al unirse a la empresa de pruebas genéticas, dijo que las organizaciones aprovecharán los «recursos y la experiencia combinados de nuestras dos oficinas».

El año pasado, 23andMe reveló un incidente de seguridad que afectó los datos genéticos y genealógicos de 6,9 ​​millones de usuarios, o casi la mitad de su base total de usuarios. En su aviso de violación de datos, la compañía dijo que no detectó las actividades de los piratas informáticos durante unos cinco meses, desde abril hasta septiembre de 2023. 23andMe dijo que solo se enteró de las violaciones de cuentas en octubre de 2023, cuando los piratas informáticos anunciaron los datos robados en un subreddit no autorizado de 23andMe y en un conocido foro de piratería.

Los datos robados incluían el nombre de la persona, año de nacimiento, etiquetas de parentesco, porcentaje de ADN compartido con familiares, informes genealógicos y estado autoinformado.

Los piratas informáticos irrumpieron en casi 14.000 cuentas de 23andMe reutilizando sus contraseñas de infracciones anteriores, una práctica conocida como pulverización de contraseñas. De esas 14.000 cuentas, los piratas informáticos pudieron robar información de millones de otras personas porque había una función de suscripción voluntaria llamada DNA Relatives, que permitía a los usuarios compartir automáticamente algunos de sus datos con otras personas que también optaban por participar, el propósito de que era para resaltar a los parientes lejanos. De esta manera, los piratas informáticos pudieron robar información de 6,9 ​​millones de usuarios pirateando sólo 14.000 cuentas.

En una declaración, el Comisionado de la ICO, John Edwards, fue citado diciendo que la gente «debe confiar en que cualquier organización que maneje su información personal más sensible cuenta con la seguridad y las salvaguardias adecuadas».

«Esta violación de datos tiene un impacto internacional y esperamos trabajar estrechamente con nuestros homólogos canadienses para garantizar que la información personal de las personas en el Reino Unido esté protegida», dijo Edwards.

La investigación conjunta entre el Reino Unido y Canadá examinará el alcance de la información descubierta y el daño potencial a las víctimas; si 23andMe «tenía medidas de seguridad adecuadas» para proteger los datos confidenciales de los usuarios; y si 23andMe había “proporcionado información suficiente” a la ICO y la OPC.

Los portavoces de 23andMe no respondieron de inmediato a una solicitud de comentarios.

Source link