Hackeados 92 milhões de detalhes de contas do serviço de teste de DNA MyHeritage

Na segunda-feira, o MyHeritage anunciou que um pesquisador de segurança havia descoberto dezenas de milhões de detalhes de contas para clientes recentes, incluindo endereços de e-mail e senhas com hash.

Hacking password illustration

Na segunda-feira, o MyHeritage anunciou que um pesquisador de segurança havia descoberto dezenas de milhões de detalhes de contas para clientes recentes, incluindo endereços de e-mail e senhas com hash.

Quando você se inscreve em um site que lida com informações confidenciais, talvez um serviço médico ou uma rede social, uma das coisas básicas que provavelmente espera é que o site possa controlar os dados de seus usuários. Infelizmente para os clientes do MyHeritage, um serviço de genealogia e teste de DNA, um pesquisador descobriu 92 milhões de detalhes de contas relacionados à empresa em um servidor, de acordo com um anúncio do MyHeritage.

Os dados referem-se a usuários que se inscreveram no MyHeritage até e incluindo 26 de outubro de 2017, a data da violação, acrescenta o anúncio.

Os usuários da empresa israelense podem criar árvores genealógicas e pesquisar registros históricos para tentar descobrir sua ancestralidade. Em janeiro de 2017, a mídia israelense informou que a empresa tem cerca de 35 milhões de árvores genealógicas em seu site.

Tela do site do MyHeritage

Ao todo, a violação impactou 92.283.889 usuários, de acordo com a divulgação do MyHeritage.

Na segunda-feira, MyHeritage diz que o diretor de segurança de informações da empresa “recebeu uma mensagem de um pesquisador de segurança que encontrou um arquivo chamado myheritage contendo endereços de e-mail e senha com hash, em um servidor privado fora do MyHeritage”, diz o anúncio. Os hashes de senha são representações criptográficas de senhas, o que significa que as empresas não precisam armazenar a própria senha, embora, dependendo do algoritmo usado, os hackers ainda consigam decifrá-las.

A postagem da MyHeritage observa que “a chave hash difere para cada cliente”, sugerindo que a empresa também está usando o chamado sal; um valor adicional, normalmente exclusivo, adicionado à senha antes do hash para tornar o próprio hash mais resiliente à quebra.

Em seu site, MyHeritage diz que “a sua privacidade e a segurança de seus dados são tão importantes para nós como para você. Fizemos investimentos significativos para garantir que sua conta e detalhes pessoais sejam protegidos e protegidos por múltiplas camadas de criptografia. Todos o teste é feito em nosso laboratório líder mundial certificado pela CLIA e credenciado pelo CAP nos Estados Unidos. “

MyHeritage diz que não há motivos para acreditar que outros dados do usuário foram comprometidos. As informações do cartão de crédito do cliente são processadas por terceiros, como o PayPal, e os dados de DNA dos usuários são armazenados em sistemas separados daqueles que contêm os endereços de e-mail do cliente, afirmou a empresa.

A lição: Embora pareça que os hackers não acessaram as contas do MyHeritage, como observa a empresa, essa ainda é uma boa oportunidade para lembrar de não usar a mesma senha em vários sites e serviços. MyHeritage também diz em seu anúncio que estará lançando dois fatores de autenticação para todos os usuários; Se você está preocupado com o fato de alguém acessar seus dados do MyHeritage no futuro, certamente vale a pena ativar esse recurso também.

Por que uma violação de dados de DNA é muito pior do que um vazamento de cartão de crédito

Você não pode mudar seu DNA

Embora os hackers tenham acessado apenas e-mails e senhas criptografados – de modo que nunca chegaram aos dados genéticos reais – não há dúvida de que esse tipo de invasão ocorrerá com mais frequência à medida que os testes genéticos de consumo se tornarem cada vez mais populares. Então, por que os hackers querem informações de DNA especificamente? E quais são as implicações de uma grande violação do DNA?

Uma razão simples é que os hackers podem querer vender dados de DNA para resgate, diz Giovanni Vigna, professor de ciência da computação na UC Santa Barbara e co-fundador da empresa de segurança cibernética Lastline. Os hackers podem ameaçar revogar o acesso ou postar informações confidenciais on-line, se não receberem dinheiro; um hospital de Indiana pagou US $ 55 mil a hackers por essa mesma razão. Mas existem razões pelas quais os dados genéticos especificamente podem ser lucrativos. “Esses dados poderiam ser vendidos com preços baixos ou monetizados para as seguradoras”, acrescenta Vigna. “Você pode imaginar as conseqüências: um dia, posso pedir um empréstimo de longo prazo e ser rejeitado porque, no fundo do sistema corporativo, há dados de que é muito provável que eu sofra de Alzheimer e morra antes de eu pagar o empréstimo.”

O MyHeritage não oferece exames médicos ou de saúde, mas muitas empresas, como a 23andMe e a Helix, fazem. E há muitos interessados ​​no DNA: pesquisadores querem dados genéticos para estudos científicos, companhias de seguros querem dados genéticos para ajudá-los a calcular o custo da saúde e seguro de vida, e a polícia quer dados genéticos para ajudá-los a rastrear criminosos, como no caso recente do Golden State Killer. Nós já não temos proteções robustas quando se trata de privacidade genética e, portanto, uma violação de dados genéticos pode ser um pesadelo. “Se há dados que existem, há uma maneira de ser explorado”, diz Natalie Ram, professora de direito com foco em questões de bioética na Universidade de Baltimore.

Os locais de testes genéticos são tesouros de informações confidenciais. Alguns sites oferecem aos usuários a opção de fazer o download de uma cópia do código genético completo, enquanto outros não. Mas o código genético completo não é a informação mais valiosa de qualquer maneira. Como Ram ressalta, não podemos apenas ler código genético como um livro para obter insights. Em vez disso, são as páginas da conta de fácil acesso com interpretações de integridade mais úteis para hackers.

Esses são os dados que podem ser valiosos para as seguradoras, funcionários e policiais. Em um mundo em que esses dados são publicados on-line, eles podem ser usados para discriminar geneticamente pessoas, como negar hipotecas ou aumentar custos de seguro. (Não ajuda que interpretar genética seja complicado e muitas pessoas não entendem as probabilidades de qualquer maneira.) No futuro, se os dados genéticos se tornarem bastante comuns, as pessoas poderão pagar uma taxa e ter acesso aos dados genéticos de alguém, também, do jeito que podemos agora para acessar o histórico criminal de alguém.

É claro que a polícia e as empresas não gostariam de trabalhar ativamente com hackers. Mas não é claro de onde vêm os dados, e sempre haverá mercados subterrâneos por meio dos quais essas informações poderiam ser compradas e vendidas, ou usadas como chantagem. “Não posso imaginar que, uma vez que essa informação seja hackeada e colocada na web, ela teria mais proteção do que antes”, diz Ram. “Eu não acho que podemos dizer que, simplesmente porque alguns dados foram o resultado de um hack, ninguém nunca vai tocá-lo. Isso seria irrealista ”.

Outro problema dificulta esse problema: Esses testes de consumidor geralmente estão errados. Os relatórios de saúde podem oferecer falsos positivos e até mesmo os testes de ancestralidade podem ser bastante imprecisos. Por exemplo, alguns testes de 23andMe foram aprovados pelo FDA, mas outros não, o que significa que há outros resultados que podem ser imprecisos.

Assim, embora seja possível que alguém receba um relatório de crédito e o dispute facilmente, quase ninguém tem o conhecimento genético para encontrar suas informações, compreendê-las e corrigi-las. Não há conselheiros genéticos suficientes e um estudo recente mostrou que alguns prestadores de cuidados primários não se sentiam à vontade para interpretar os resultados.

Como o hack Equifax do ano passado mostrou, há falta de legislação sobre o que acontece com os dados de uma violação. E, finalmente, uma violação dos dados genéticos é muito mais séria do que a maioria das violações de crédito. A informação genética é imutável: a Vigna salienta que é possível alterar números de cartão de crédito ou até endereços, mas a informação genética não pode ser alterada. E a informação genética é freqüentemente compartilhada involuntariamente. “Mesmo que eu não use 23andMe, eu tenho primos que sim, de forma que posso ser geneticamente pesquisável”, diz Ram. Em um caso, um gêmeo idêntico, tendo seus dados genéticos sequenciados, criou uma situação complicada para sua irmã.

Ram acha que precisamos considerar se as empresas de testes genéticos têm uma obrigação ética maior com seus clientes e considerar seriamente como prevenir e lidar com as violações. Por exemplo, existem proteções de privacidade para dados médicos e estão cobertas pela Lei de Portabilidade e Responsabilidade de Seguro de Saúde. Por enquanto, os resultados dos testes genéticos de consumidor não são cobertos pela HIPAA, mas uma opção poderia ser mudar a lei para que esses resultados também sejam incluídos. “Colocamos muita confiança nessas empresas de consumo que prometem nos ajudar a entender quem somos geneticamente”, afirma Ram. Mas há muitas perguntas sobre o quanto eles podem nos ensinar e há muitas perguntas importantes sobre quais tipos de advertências eles realmente devem garantir que seus usuários entendam o que estão vendo e como podem ser protegidos. ”

Com informações da MyHeritage