Las autoridades de privacidad de Canadá y el Reino Unido han iniciado una investigación conjunta para evaluar el alcance de la información confidencial de los clientes expuesta en la violación de datos de 23andMe del año pasado.
El Comisionado de Privacidad de Canadá y la Oficina del Comisionado de Información (ICO) también investigarán si la compañía tenía las medidas de seguridad adecuadas para proteger los datos de los clientes almacenados en sus sistemas.
La investigación conjunta también examinará si 23andMe alertó a las personas afectadas y a los reguladores de privacidad como lo requieren las leyes de privacidad y protección de datos de Canadá y el Reino Unido.
«En las manos equivocadas, la información genética de un individuo podría ser mal utilizada para la vigilancia o la discriminación. Garantizar que la información personal esté adecuadamente protegida contra los ataques de actores maliciosos es un enfoque importante para las autoridades de privacidad en Canadá y en todo el mundo», dijo el Comisionado de Privacidad de Canadá, Philippe Dufresne.
«La gente debe confiar en que cualquier organización que maneje su información personal más confidencial tiene la seguridad y las salvaguardias adecuadas», agregó el Comisionado de Información del Reino Unido, John Edwards.
«Esta violación de datos tuvo un impacto internacional, y esperamos colaborar con nuestras contrapartes canadienses para garantizar que la información personal de las personas en el Reino Unido esté protegida».
Cuentas de 23andMe violadas en un ataque de relleno de credenciales
En enero, el proveedor de pruebas genéticas 23andMe confirmó que los atacantes robaron informes de salud y datos de genotipos sin procesar de los clientes afectados en un ataque de cinco meses de relleno de credenciales del 29 de abril al 27 de septiembre.
Los atacantes utilizaron credenciales robadas de otras violaciones de datos o plataformas en línea comprometidas para violar las cuentas de 23andMe.
Al detectar el ataque del 10 de octubre, 23andMe comenzó a exigir a todos los clientes que restablecieran sus contraseñas. Desde el 6 de noviembre, la autenticación de dos factores se ha habilitado de forma predeterminada para todos los clientes nuevos y existentes.
La compañía reveló en cartas de notificación de violación de datos enviadas a las personas afectadas que algunos datos robados se publicaron en el foro de piratería de BreachForums y en el subreddit no oficial de 23andMe.
Se filtraron los datos de los clientes de 23andMe
La información filtrada incluía los datos de 4,1 millones de personas que vivían en el Reino Unido y 1 millón de judíos asquenazíes.
23andMe le dijo a BleepingComputer en diciembre que los actores de la amenaza descargaron datos de 6,9 millones de los 14 millones de clientes después de violar alrededor de 14.000 cuentas de usuario.
Aproximadamente 5,5 millones de personas tuvieron sus datos raspados a través de la función de parientes de ADN y 1,4 millones a través de la función de árbol genealógico.
Debido al incidente, se presentaron varias demandas contra 23andMe, lo que llevó a la compañía a actualizar sus Términos de Uso el 30 de noviembre para que sea más difícil para los clientes unirse a demandas colectivas.
Sin embargo, 23andMe declaró que los cambios se hicieron para que el proceso de arbitraje fuera más eficiente y más accesible para que los clientes lo entendieran.
QAnons España 