أعلنت شركة الاختبارات الجينية 23andMe يوم الجمعة أن المتسللين تمكنوا بشكل مباشر من الوصول إلى البيانات الشخصية لـ 0.1٪ من عملائها، أو حوالي 14000 شخص. وقالت الشركة أيضًا إنه من خلال الوصول إلى هذه الحسابات، تمكن المتسللون أيضًا من الوصول إلى "عدد كبير من الملفات التي تحتوي على معلومات ملف تعريف الأجداد لمستخدمين آخرين". لكن شركة 23andMe لم تكشف عن عدد "المستخدمين الآخرين" الذين تأثروا بالثغرة الأمنية، التي كشفت عنها الشركة في الأصل في أوائل أكتوبر. اتضح أن هناك الكثير من "المستخدمين الآخرين" الذين وقعوا ضحايا لخرق البيانات هذا: تأثر إجمالي 6.9 مليون شخص.
وأكدت المتحدثة باسم 23andMe كاتي واتسون في رسالة بالبريد الإلكتروني إلى TechCrunch في وقت متأخر من يوم السبت أن المتسللين تمكنوا من الوصول إلى المعلومات الشخصية لحوالي 5.5 مليون شخص اختاروا ميزة البحث المتعلقة بالحمض النووي الخاصة بـ 23andMe، والتي تتيح للمستخدمين مشاركة بعض بياناتهم تلقائيًا مع الآخرين. وتضمنت البيانات المسروقة أسماء الأفراد، وسنوات الميلاد، وعلامات العلاقة، ونسبة الحمض النووي المشترك مع الأقارب، وتقارير السلالة، والموقع الذي تم الإبلاغ عنه ذاتيًا.
وأكدت 23andMe أيضًا أنه "تم الوصول أيضًا إلى معلومات الملف التعريفي لشجرة العائلة" لمجموعة أخرى من حوالي 1.4 مليون شخص اختاروا DNARelatives، حسبما قال المتحدث، والتي تضمنت الأسماء وعلامات العلاقات وسنوات الميلاد والمواقع التي أبلغ عنها ذاتيًا وما إذا كان المستخدم قد قرر مشاركة معلوماته. (تشير شركة 23andMe إلى أن أجزاء من رسائل البريد الإلكتروني الخاصة بها هي "معلومات أساسية" وتتطلب موافقة الطرفين على الشروط ذات الصلة مقدمًا).
ولم يكن من الواضح لماذا لم تكشف 23andMe عن البيانات يوم الجمعة. مع الأخذ في الاعتبار البيانات المضافة حديثًا، أثر خرق البيانات فعليًا على حوالي نصف إجمالي عملاء 23andMe البالغ عددهم 14 مليونًا.
في أوائل شهر أكتوبر، نشر أحد المتسللين في أحد منتديات القراصنة المعروفة ادعاءً بأنه سرق معلومات الحمض النووي لمستخدمي 23andMe. وكدليل على الاختراق، نشر المتسلل بيانات تخص مليون مستخدم من أصل يهودي أشكنازي و100 ألف مستخدم صيني، وطلب من المشترين المحتملين شراء البيانات بمبلغ يتراوح بين 1 و10 دولارات لكل حساب فردي. وبعد أسبوعين، نشر نفس المتسلل السجلات المزعومة لأربعة ملايين شخص آخرين في نفس منتدى المتسللين.
وفي وقت لاحق، نشر متسلل آخر إعلانًا عن مجموعة من بيانات عملاء 23andMe المزعومة المسروقة في منتدى آخر للمتسللين، قبل شهرين من نشرها على نطاق واسع.
عند تحليل البيانات المسربة منذ أشهر، ليس من الصعب العثور على سجلات تتطابق مع البيانات الجينية المنشورة على الإنترنت من قبل الهواة وعلماء الأنساب. توجد مجموعتا المعلومات بتنسيقات مختلفة ولكنها تحتوي على بعض من نفس بيانات المستخدم الفريدة والبيانات العامة، مما يشير إلى أن البيانات التي سربها المتسللون هي بيانات عملاء 23andMe حقيقية جزئيًا على الأقل.
عندما كشفت شركة 23andMe عن الحادث في أكتوبر من هذا العام، قالت إن خرق البيانات كان بسبب إعادة استخدام العملاء لكلمات المرور، مما سمح للمتسللين باستخدام كلمات المرور المكشوفة في خروقات بيانات الشركات الأخرى لإجبار حسابات الضحايا. ونظرًا لأن ميزة DNARelatives تطابق المستخدمين مع أقاربهم، فمن خلال اختراق الحساب الشخصي، يمكن للقراصنة رؤية البيانات الشخصية لصاحب الحساب وأقاربهم، مما يؤدي إلى تضخيم العدد الإجمالي لضحايا 23andMe.