Ormai non passa giorno che non si abbia notizia dalla stampa di settore e perfino dalle cronache cittadine di nuovi data breach, notizia recente quella della vendita nel dark web di dati di un noto istituto di analisi fiorentino e fa certo scalpore che in queste violazioni siano coinvolte organizzazioni anche ben strutturate, ma certo il data breach di 23andMe, azienda leader del settore dei test genetici fai da te, lascia davvero stupefatti soprattutto per la facilità con la quale è stato perpetrato: l'attaccante non ha dovuto scrivere neanche una riga di codice!
Cosa sappiamo? In una recente comunicazione agli iscritti è l'azienda stessa a fare luce sui fatti e a dare le prime indicazioni agli utenti, leggiamo insieme la traduzione in italiano del comunicato di 23andMe:
Di recente abbiamo appreso che alcune informazioni del profilo, che un cliente crea e sceglie di condividere con i propri parenti genetici nella funzione DNA Relatives, sono state accessibili da singoli account 23andMe.com. Questo è stato fatto senza l'autorizzazione degli utenti dell'account. Non abbiamo alcuna indicazione al momento che ci sia stato un incidente di sicurezza dei dati all'interno dei nostri sistemi, o che 23andMe sia stata la fonte delle credenziali dell'account utilizzate in questi attacchi.
Mentre la nostra indagine è in corso, al momento riteniamo che l'autore della minaccia sia stato in grado di accedere a determinati account nei casi in cui gli utenti hanno utilizzato credenziali di accesso identiche, ovvero nomi utente e password utilizzati su 23andMe.com sono gli stessi utilizzati su altri siti web che erano stati precedentemente compromessi o comunque disponibili.
Se veniamo a conoscenza del fatto che i tuoi dati sono stati accessibili senza la tua autorizzazione, ti contatteremo separatamente per fornirti ulteriori informazioni.
Cosa sta facendo 23andMe al riguardo?
Dopo aver appreso di attività sospette, abbiamo immediatamente avviato un'indagine e ci siamo avvalsi dell'assistenza di esperti forensi di terze parti e abbiamo informato le forze dell'ordine. Per precauzione, stiamo inoltre richiedendo a tutti i clienti di reimpostare le password.
La sicurezza e la privacy sono le massime priorità di 23andMe. Superiamo gli standard di protezione dei dati del settore e abbiamo ottenuto tre diverse certificazioni ISO per dimostrare la solidità del nostro programma di sicurezza. Monitoriamo e sottoponiamo ad audit attivamente e regolarmente i nostri sistemi per garantire la protezione dei tuoi dati. Quando riceviamo informazioni attraverso questi processi o da altre fonti che affermano che i dati dei clienti sono stati accessibili da individui non autorizzati, indaghiamo immediatamente per verificare se queste informazioni siano accurate. A partire dal 2019, offriamo e incoraggiamo gli utenti a utilizzare l'autenticazione a due fattori (MFA), che fornisce un ulteriore livello di sicurezza e può impedire a malintenzionati di accedere a un account tramite password riciclate.
Cosa puoi fare oggi?
Ti invitiamo inoltre a prendere ulteriori provvedimenti per proteggere il tuo account e la tua password. Questo include i seguenti passaggi:
- Quando reimposti la password, assicurati che non sia facile da indovinare e che non venga utilizzata per altri account, il che significa che è univoca per il tuo account 23andMe. Reimposta la password qui.
- Assicurati di abilitare l'autenticazione a due fattori (MFA) sul tuo account 23andMe: Aggiunta della verifica in due passaggi all'account 23andMe.
- Se accedi a 23andMe utilizzando l'accesso unico Google o Apple, non ti verrà richiesto di modificare la password, ma ti consigliamo di proteggere il tuo account Google o Apple con l'MFA.
- Utilizza password diverse per account diversi. Questo eviterà che un hacker che scopra la password di un tuo account acceda poi a tutti i tuoi servizi online. Le password dovrebbero avere almeno 12 caratteri e non essere facili da indovinare, come il tuo nome, compleanno o indirizzo.
- Cambia le tue password con regolarità. Si consiglia di cambiare le password ogni 3-6 mesi, o più spesso se ritieni che siano state compromesse.
- Fai attenzione alle informazioni che condividi online, soprattutto sui social media. Gli hacker possono utilizzare queste informazioni per creare profili falsi o per accedere ai tuoi account. Evita di condividere informazioni personali sensibili, come il tuo indirizzo, numero di telefono o data di nascita.
- Iscriviti a haveibeenpwned.com per ricevere avvisi quando i tuoi nomi utente, indirizzi e-mail o password compaiono in una violazione, quindi modifica immediatamente quelle password e assicurati che l'autenticazione a più fattori sia attivata su quegli account.
- Per proteggerti dal furto d'identità, imposta un alert per il tuo nome e cognome con Google Alert. Google Alert è un servizio di rilevamento e notifica delle modifiche dei contenuti su internet che invia email all'utente quando trova nuovi risultati, ad esempio pagine web, articoli di giornale, blog o ricerche scientifiche, corrispondenti ai termini di ricerca impostati dall'utente, in questo caso il proprio nome e cognome.
Commenti
Posta un commento