I dati genetici di oltre 7 milioni di persone sono stati rubati alla 23andMe, un’azienda californiana che si occupa di genomica e biotecnologia e fornisce test del DNA per tratti ereditari, genealogia e possibili fattori di rischio congeniti. A guidarla dalla sua fondazione nel 2006 è Anne Wojcicki, sorella dell’ex Ceo di YouTube Susan Wojcicki ed ex moglie di Sergey Brin, co-fondatore di Google. Dopo il furto, i dati di 4 milioni di persone sono stati messi sul dark web. Ma qual era lo scopo degli hacker?
Come sono stati rubati i DNA
Per rubare i dati di 23andMe, gli hacker hanno riutilizzato vecchi nomi utente e password di altri siti web per penetrare negli account. Una tecnica che prende il nome di “credential stuffing“, considerata rudimentale ma che in questo, come in altri casi simili, ha sempre la sua efficacia. Secondo la società americana, nonostante l’ingente quantità di dati rubata, “non c’è stata alcuna segnalazione di uso inappropriato dei dati dopo la fuga di notizie”. E questo perché la divulgazione di questo tipo di dati potrebbe avere gravi conseguenze grazie alla conversione in legge, avvenuta nel 2008, del Genetic Information Nondiscrimination Act, che protegge gli individui dalla discriminazione basata sulle loro informazioni genetiche, nella copertura sanitaria e nel mondo del lavoro.
L’obiettivo degli hacker
Non è ben chiaro il motivo per cui gli hacker abbiano voluto rubare nomi, cognomi, sesso, data di nascita, profili del DNA e informazioni più specifiche sull’ascendenza geografica di milioni di persone. Quello che si sa è che un primo furto è avvenuto all’inizio di ottobre e sembra aver preso di mira in particolare centinaia di migliaia di utenti di origine cinese e un milione di account di ebrei ashkenaziti, ovvero originari dell’Europa centrale e orientale. Nei forum degli hacker circolava infatti un file denominato “Ashkenazi DNA Data of Celebrities.csv”. Un secondo furto, avvenuto sempre ad ottobre, ha invece riguardato i profili genetici di persone in Gran Bretagna e Germania, tra cui, a detta degli hacker, ci sarebbero anche informazioni dei membri della famiglia reale inglese, dei Rothschild e dei Rockefeller.
L’opinione dell’esperto
L’analista delle minacce presso la società di sicurezza Emsisoft, Brett Callow, ha spiegato che “quando vengono condivisi dati relativi a gruppi etnici, nazionali, politici o di altro tipo, a volte è perché questi gruppi sono stati presi di mira in modo specifico, ma a volte è perché la persona che condivide i dati pensa di fare notizia per aumentare la reputazione”, ha spiegato Brett Callow, analista delle minacce presso la società di sicurezza Emsisoft.”. Secondo il genetista Giuseppe Novelli “è molto grave quanto accaduto a 23andMe. Rappresenta una violenza sulla persona, perché espone le informazioni più care, più segrete dell’individuo, quelle del proprio DNA, che contengono dati socialmente e culturalmente rilevanti”.