آزمایش ژنتیک شرکت 23andMe روز جمعه تایید کرد که داده های زیرمجموعه ای از کاربرانش به خطر افتاده است. این شرکت گفت که سیستم‌هایش هک نشده‌اند و مهاجمان داده‌ها را با حدس زدن اعتبار ورود گروهی از کاربران جمع‌آوری کرده‌اند و سپس اطلاعات بیشتری در مورد افراد از ویژگی‌ای به نام اقوام DNA جمع‌آوری می‌کنند. کاربران انتخاب می کنند که اطلاعات خود را از طریق اقوام DNA به اشتراک بگذارند تا دیگران ببینند.

هکرها اوایل این هفته یک نمونه داده اولیه را در پلتفرم BreachForums منتشر کردند و ادعا کردند که حاوی 1 میلیون قطعه داده منحصراً درباره یهودیان اشکنازی است. همچنین به نظر می رسد که صدها هزار کاربر چینی از نشت تحت تأثیر قرار گرفته اند. روز چهارشنبه، این بازیگر شروع به فروش پروفایل های 23andMe با قیمت بین 1 تا 10 دلار در هر حساب کرد، بسته به اندازه خرید. این داده ها شامل مواردی مانند نام نمایشی، جنسیت، سال تولد، و برخی جزئیات در مورد نتایج ژنتیکی است، مانند اینکه آیا یک فرد، برای مثال، اصل و نسب “عمدتا اروپایی” یا “عمدتا ،” است. همچنین ممکن است شامل اطلاعات دقیق تری در مورد اجداد جغرافیایی باشد. به نظر نمی رسد این اطلاعات شامل داده های ژنتیکی واقعی و خام باشد.

این شرکت در بیانیه ای تاکید کرد که هیچ مدرکی دال بر هک شدن سیستم هایش ندیده است. همچنین کاربران را تشویق می‌کند تا از رمزهای عبور قوی و منحصربه‌فرد استفاده کنند و احراز هویت دو مرحله‌ای را فعال کنند تا از مهاجمان از به خطر انداختن حساب‌های فردی خود با استفاده از اعتبارنامه‌های ورود که در سایر موارد نقض داده‌ها در معرض دید قرار می‌گیرند، جلوگیری کنند.

این شرکت در بیانیه ای گفت: «به ما اطلاع داده شده است که برخی از اطلاعات نمایه مشتری 23andMe از طریق دسترسی به حساب های فردی 23andMe.com جمع آوری شده است. ما معتقدیم عامل تهدید می‌توانست با نقض شرایط خدمات ما، بدون مجوز به حساب‌های 23andme.com دسترسی داشته باشد و اطلاعاتی را از آن حساب‌ها کسب کند.»

این شرکت نگفت که آیا اطلاعات افشا شده توسط عامل تهدید را تایید کرده است یا خیر، و اشاره کرد که تحقیقات آن ادامه دارد و در حال حاضر “نتایج اولیه” دارد. یکی از سخنگویان شرکت به WIRED گفت که اطلاعات فاش شده مربوط به موقعیتی است که در آن حساب‌های کاربری خاصی افشا شده و سپس برای بازیابی اطلاعات قابل مشاهده در DNA بستگان مورد سوء استفاده قرار می‌گیرند. اما هنگامی که از او پرسیده شد که آیا داده‌ها تایید شده‌اند، سخنگوی گفت که راستی‌آزمایی داده‌ها ادامه دارد و شرکت در حال حاضر نمی‌تواند واقعی بودن اطلاعات فاش شده را تأیید کند.

این نکته هم برای هر کسی که اطلاعاتش به خطر افتاده است و هم برای اینکه داده‌های منتشر شده توسط این بازیگر ادعا می‌کند که شامل «سلبریتی‌ها» می‌شود، مهم است. ورودی‌های مارک زاکربرگ، ایلان ماسک و سرگئی برین، فن‌آوران، همگی در داده‌های نمونه قابل مشاهده هستند، از جمله «شناسه نمایه»، «شناسه حساب»، نام، جنسیت، سال تولد، مکان فعلی و فیلدهایی به نام‌های «ydna» و «ndna». مشخص نیست که آیا داده‌های موجود در این ورودی‌ها قانونی هستند یا اینکه درج شده‌اند. به عنوان مثال، به نظر می رسد ماسک و برین دارای مشخصات و اعتبار حساب یکسان در افشای اطلاعات هستند.