Contexto do processo

A Califórnia entrou com uma ação contra a 23andMe por falhas na proteção de informações genéticas e pessoais de clientes. Segundo o texto fornecido, a empresa, agora chamada Chrome Holding Co., confirmou que os dados divulgados por criminosos eram reais após amostras e partes maiores do conjunto vazado aparecerem à venda em 2023.

O impacto informado é relevante: aproximadamente 6,9 milhões de clientes tiveram dados expostos, incluindo 855.541 californianos. O caso mostra por que serviços que armazenam dados de saúde, ancestralidade e parentesco precisam de controles fortes, pois essas informações não podem ser simplesmente “trocadas” como uma senha.

Como o vazamento ocorreu

De acordo com a 23andMe, a extração começou por meio de um ataque de preenchimento de credenciais. Em termos simples, criminosos testam combinações de usuário e senha já comprometidas ou fracas em outro serviço. Quando uma pessoa reutiliza a mesma senha em vários sites, uma invasão em um lugar pode abrir caminho para outra conta.

O texto também informa que os invasores acessaram dados de usuários que participavam do recurso DNA Relatives, voltado a encontrar parentes biológicos e correspondências de DNA. Depois, eles alcançaram um segundo grupo, bem maior, de contas que não usava esse recurso.

Dados expostos e sinais

O vazamento envolveu informações especialmente sensíveis. Entre os tipos citados estão dados genéticos, predisposições de saúde, ancestralidade, etnia, parentes biológicos e correspondências de DNA.

Para usuários, os principais sinais de alerta são:

• mensagens usando detalhes reais sobre ancestralidade, família ou saúde para parecerem confiáveis;
• tentativas de login em contas associadas ao mesmo e-mail usado na 23andMe;
• contatos inesperados mencionando parentesco, DNA ou resultados de testes;
• pedidos para confirmar dados pessoais por links recebidos por e-mail ou mensagem.

O que fazer agora

Quem tem ou teve conta na 23andMe deve começar pelo básico: trocar a senha por uma combinação única, que não seja usada em nenhum outro serviço. Se a mesma senha foi repetida em e-mail, redes sociais, bancos ou serviços de saúde, a troca precisa ser feita também nesses lugares.

Também é recomendável revisar as configurações da conta, especialmente recursos de compartilhamento como o DNA Relatives, e desconfiar de qualquer contato que use dados familiares ou de saúde para pressionar uma ação rápida. Empresas que lidam com dados sensíveis devem tratar o caso como alerta para revisar autenticação, monitoramento de acessos e resposta a incidentes.

Checklist pratico

1. Troque a senha da 23andMe e de qualquer outra conta onde ela tenha sido reutilizada.
2. Revise recursos de compartilhamento de dados genéticos, parentesco e perfil público.
3. Monitore e-mails e mensagens que mencionem DNA, saúde, ancestralidade ou parentes biológicos.
4. Evite clicar em links recebidos por mensagens inesperadas; acesse o site digitando o endereço no navegador.
5. Em empresas, revise políticas de senha, controles de acesso e planos de resposta a vazamentos.

Perguntas frequentes

O processo afirma que quantas pessoas foram afetadas?

O texto informado cita cerca de 6,9 milhões de clientes impactados, incluindo 855.541 moradores da Califórnia.

Que tipo de dado foi exposto no caso 23andMe?

Foram citados dados genéticos, predisposições de saúde, ancestralidade, etnia, parentes biológicos e correspondências de DNA.

O que é preenchimento de credenciais?

É quando criminosos testam combinações de login e senha, geralmente fracas ou reutilizadas, para acessar contas em outros serviços.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/california-ag-sues-23andme-over-2023-breach-exposing-health-data/