Az otthon elvégezhető genetikai tesztjeiről ismert 23andMe pénteken bejelentette, hogy hackerek hozzáfértek a felhasználók 0,1 százalékának személyes adataihoz. Ez a körülbelül 14 milliós ügyfélbázissal rendelkező cég esetében 14 ezer személyt érintene, csakhogy közben kiderült, egy kicsit többről van itt szó.

Amint azt a vállalat is közölte, a fiókok feltörésével a hackerek „jelentős számú, más felhasználók felmenőire vonatkozó profilinformációkat tartalmazó fájlhoz” is hozzáférhettek – arról már nem írtak, hogy ez hány emberre vonatkozik. A TechCrunch hétfőn derítette ki, hogy összesen 6,9 millió ember adataihoz férhettek hozzá illetéktelenek, ami már a 23andMe bázisának felét jelenti – ezt később a cég is elismerte.

Katie Watson, a 23andMe szóvivője a lapnak megerősítette, hogy a hackerek 5,5 millió olyan ember személyes adataihoz fértek hozzá, akik engedélyezték a szolgáltatás „DNS-rokonok” funkcióját, amely lehetővé teszi, hogy a felhasználók automatikusan megosszák egymással bizonyos adataikat. Az ellopott adatok között szerepelt az adott személy neve, születési éve, rokonsági adatai, a rokonokkal közös DNS-ek aránya, családfakutatási jelentései és az önbevallások alapuló tartózkodási helye.

Emellett volt egy másik, körülbelül 1,4 millió főből álló csoport, amely tagjaitól még több adatot sikerült kinyerniük a hackereknek: a rokonok neveit, születési éveit, tartózkodási helyeit és egyéb beállításait. Azt nem tudni, hogy a pénteki hivatalos bejelentésben ennek a további 6,9 millió főnek az érintettségét miért nem említette a cég.

A botrány még októberben robbant ki, amikor egy hacker egy ismert fórumon közzétett bejegyzésében azt állította, hogy ellopta a 23andMe felhasználóinak egy jelentős részének DNS-adatait. Hogy ezt bizonyítsa, a hacker egymillió askenázi zsidó származású és 100 ezer kínai felhasználó adatait listázta, és a potenciális vásárlóitól 1-10 dollárt kért az egyéni fiókadatokért. Két héttel később már 4 millió ember adatait hirdette meg a fórumon eladásra.

A 23andMe erre elég érdekesen reagált: a felhasználóit hibáztatta, amiért ugyanazzal a jelszóval regisztráltak náluk, mint más oldalakra. A cég szerint ez tette lehetővé, hogy a hackerek más oldalak adatlopási ügyei során nyilvánosságra került jelszavak felhasználásával feltörjék a fiókokat.

A cég közlése szerint folyamatosan tájékoztatják a támadásról a felhasználókat, valamint kötelezővé tették a korábban csak választható kétlépcsős azonosítást. Adatvédelmi szakértők szerint a kétlépcsős azonosításnak eddig is a minimumnak kellett volna lennie egy olyan rendszerben, ahol számos felhasználói profil összekapcsolt, vagyis egy fiók feltörésével sok más fiók adataihoz is hozzá lehet férni.