В пятницу компания по генетическому тестированию 23andMe объявила, что хакеры получили прямой доступ к личным данным 0,1% ее клиентов, или около 14 000 человек. Компания также заявила, что, получив доступ к этим учетным записям, хакеры также смогли получить доступ к «большому количеству файлов, содержащих информацию о профилях предков других пользователей». Но 23andMe не раскрыла, сколько «других пользователей» пострадало от уязвимости, о которой компания первоначально сообщила в начале октября. Оказывается, жертвами утечки данных стали многие «другие пользователи»: всего пострадало 6,9 миллиона человек.

Представитель 23andMe Кэти Уотсон подтвердила в электронном письме TechCrunch поздно вечером в субботу, что хакеры получили доступ к личной информации около 5,5 миллионов человек, которые выбрали функцию поиска 23andMe, связанную с ДНК, которая позволяет пользователям автоматически делиться некоторыми своими данными с другими. Украденные данные включали индивидуальные имена, годы рождения, метки родства, долю ДНК, общую с родственниками, отчеты о происхождении и местонахождение, о котором сообщали сами люди.

23andMe также подтвердил, что «информация о профиле генеалогического древа также была получена» для еще одной группы из примерно 1,4 миллиона человек, которые выбрали DNARelatives, сообщил представитель, которая включала имена, теги родства, годы рождения, места, о которых сообщил сам пользователь, и решил ли пользователь поделиться своей информацией. (23andMe заявляет, что части ее электронных писем представляют собой «справочную информацию» и требуют от обеих сторон предварительного согласия с соответствующими условиями).

Было неясно, почему 23andMe не раскрыла данные в пятницу. Принимая во внимание недавно добавленные данные, утечка данных фактически затронула около половины из 14 миллионов клиентов 23andMe.

В начале октября хакер опубликовал на известном хакерском форуме сообщение о том, что он украл информацию ДНК пользователей 23andMe. В качестве доказательства взлома хакер опубликовал данные предположительно 1 миллиона пользователей еврейского происхождения ашкенази и 100 000 китайских пользователей и попросил потенциальных покупателей приобрести данные по цене от 1 до 10 долларов за отдельную учетную запись. Две недели спустя тот же хакер опубликовал на том же хакерском форуме предполагаемые записи еще 4 миллионов человек.

Позже другой хакер разместил на другом хакерском форуме рекламу партии предположительно украденных данных клиентов 23andMe, за два месяца до того, как об этом стало широко известно.

Анализируя данные, утекшие несколько месяцев назад, нетрудно найти записи, соответствующие генетическим данным, опубликованным в Интернете любителями и специалистами по генеалогии. Эти два набора информации имеют разные форматы, но содержат одни и те же уникальные пользовательские и общие данные, что позволяет предположить, что данные, слитые хакерами, по крайней мере частично являются реальными данными клиентов 23andMe.

Когда компания 23andMe сообщила об инциденте в октябре этого года, она заявила, что утечка данных была вызвана повторным использованием клиентами паролей, что позволило хакерам использовать пароли, обнаруженные в результате утечки данных других компаний, для перебора учетных записей жертв. Поскольку функция DNARelatives сопоставляет пользователей с их родственниками, скомпрометировав личный аккаунт, хакеры могут увидеть личные данные владельца аккаунта и его родственников, увеличивая общее число жертв 23andMe.