Ha valaha is gondolkozott azon, hogy genetikai adatainak kezelését egy magánvállalkozásra bízza, érdemes megismernie a 23andMe cég mostani vesszőfutását. A vállalat ugyanis beismerte, hogy a hackerek körülbelül 14 ezer ember felmenőire vonatkozó információkat szereztek meg, valamint „jelentős számú fájlt” loptak el más felhasználókról. Azt viszont nem árulták el, hogy az adatlopás hány „más felhasználót” érint, azonban – írja a TechCrunch – kiderült, hogy nagyon sokat: összesen 6,9 millió érintett személy van.
Azóta a 23andMe szóvivője egy e-mailben megerősítette a Gizmodónak, hogy a hackerek körülbelül 5,5 millió felhasználótól loptak el adatokat, akik feliratkoztak a cég DNS Relatives (DNS-rokonok) funkciójára. Ez egy olyan szolgáltatás, amelyben másoknak adhatnak meg kiválasztott információkat, akik esetleg közeli DNS-egyezést mutatnak. Az ellopott információk tartalmazhatják a megjelenített nevet, a fiókjukba való legutóbbi bejelentkezések idejét, a DNS-rokonaikkal megosztott DNS-százalékos arányát, és az adott személlyel való megjósolt kapcsolatát. Tartalmazhat olyan önbevallásos információkat is, mint a földrajzi hely, születési év, családfa és az esetlegesen feltöltött fényképek, tulajdonképpen bármit, amit a felhasználók a „Mutatkozz be” részben szerepeltetnek.
A 23andMe tehát elveszítette az irányítást a 14 millió felhasználó körülbelül feléhez tartozó adatok felett, nem csak a 0,1 százalék felett, amit az Értékpapír- és Tőzsdefelügyelethez (Securities and Exchange Commission) benyújtottak.
A szóvivő szerint erre is megvan a magyarázat. Az eltérés szerintük azzal függ össze, hogy kik fértek hozzá közvetlenül az adatokhoz. „Vizsgálataink alapján megállapítottuk, hogy a fenyegetettség szereplője a felhasználói fiókok nagyon kis százalékához (0,1) tudott csak hozzáférni (körülbelül 14 000-hez)”. De ha belép a már említett DNS Relatives (DNS rokonok) funkcióba, akkor más felhasználók adatait is láthatja. Más szóval, ez a „csak” 14 ezer feltört fiók exponenciálisan több emberről adhat információt.
A 23andMe szóvivője szerint a hackerek egyéni fiókokba törtek be kiszivárgott felhasználónevekkel és jelszavakkal, amelyeket, a cég ügyfelei más, feltört webhelyeken használtak. A 23andMe honlapján olvasható közlemény szerint a cég minden ügyfelétől megköveteli, hogy változtassa meg meglévő jelszavát, és állítsa be a kétlépcsős azonosítást.