Passa ai contenuti principali

La natura del dato genetico, cosa sappiamo del data breach di 23andMe


Ormai non passa giorno che non si abbia notizia dalla stampa di settore e perfino dalle cronache cittadine di nuovi data breach, notizia recente quella della vendita nel dark web di dati di un noto istituto di analisi fiorentino e fa certo scalpore che in queste violazioni siano coinvolte organizzazioni anche ben strutturate, ma certo il data breach di 23andMe, azienda leader del settore dei test genetici fai da te, lascia davvero stupefatti soprattutto per la facilità con la quale è stato perpetrato: l'attaccante non ha dovuto scrivere neanche una riga di codice!

Cosa sappiamo? In una recente comunicazione agli iscritti è l'azienda stessa a fare luce sui fatti e a dare le prime indicazioni agli utenti, leggiamo insieme la traduzione in italiano del comunicato di 23andMe:

Di recente abbiamo appreso che alcune informazioni del profilo, che un cliente crea e sceglie di condividere con i propri parenti genetici nella funzione DNA Relatives, sono state accessibili da singoli account 23andMe.com. Questo è stato fatto senza l'autorizzazione degli utenti dell'account. Non abbiamo alcuna indicazione al momento che ci sia stato un incidente di sicurezza dei dati all'interno dei nostri sistemi, o che 23andMe sia stata la fonte delle credenziali dell'account utilizzate in questi attacchi.

Mentre la nostra indagine è in corso, al momento riteniamo che l'autore della minaccia sia stato in grado di accedere a determinati account nei casi in cui gli utenti hanno utilizzato credenziali di accesso identiche, ovvero nomi utente e password utilizzati su 23andMe.com sono gli stessi utilizzati su altri siti web che erano stati precedentemente compromessi o comunque disponibili.

Se veniamo a conoscenza del fatto che i tuoi dati sono stati accessibili senza la tua autorizzazione, ti contatteremo separatamente per fornirti ulteriori informazioni.

Cosa sta facendo 23andMe al riguardo?

Dopo aver appreso di attività sospette, abbiamo immediatamente avviato un'indagine e ci siamo avvalsi dell'assistenza di esperti forensi di terze parti e abbiamo informato le forze dell'ordine. Per precauzione, stiamo inoltre richiedendo a tutti i clienti di reimpostare le password.

La sicurezza e la privacy sono le massime priorità di 23andMe. Superiamo gli standard di protezione dei dati del settore e abbiamo ottenuto tre diverse certificazioni ISO per dimostrare la solidità del nostro programma di sicurezza. Monitoriamo e sottoponiamo ad audit attivamente e regolarmente i nostri sistemi per garantire la protezione dei tuoi dati. Quando riceviamo informazioni attraverso questi processi o da altre fonti che affermano che i dati dei clienti sono stati accessibili da individui non autorizzati, indaghiamo immediatamente per verificare se queste informazioni siano accurate. A partire dal 2019, offriamo e incoraggiamo gli utenti a utilizzare l'autenticazione a due fattori (MFA), che fornisce un ulteriore livello di sicurezza e può impedire a malintenzionati di accedere a un account tramite password riciclate.

Cosa puoi fare oggi?

Ti invitiamo inoltre a prendere ulteriori provvedimenti per proteggere il tuo account e la tua password. Questo include i seguenti passaggi:

  • Quando reimposti la password, assicurati che non sia facile da indovinare e che non venga utilizzata per altri account, il che significa che è univoca per il tuo account 23andMe. Reimposta la password qui.
  • Assicurati di abilitare l'autenticazione a due fattori (MFA) sul tuo account 23andMe: Aggiunta della verifica in due passaggi all'account 23andMe.
  • Se accedi a 23andMe utilizzando l'accesso unico Google o Apple, non ti verrà richiesto di modificare la password, ma ti consigliamo di proteggere il tuo account Google o Apple con l'MFA.
Dobbiamo dire che la prima causa di questa violazione è la cattiva pratica da parte degli utenti di utilizzare la stessa password per tutti i servizi e il mancato utilizzo di sistemi di autenticazione a più fattori. Quindi se le proprie credenziali sono coinvolte in un precedente data breach e vendute nel dark web, i criminali informatici utilizzando la tecnica del credential stuffing le potranno utilizzare per effettuare altre violazioni di dati personali. Ai partecipanti ai miei corsi di consapevolezza del rischio informatico spiego di andare a verificare sul sito ';--have i been pwned? che il proprio indirizzo e-mail e il proprio numero di telefono non siano inseriti in un data breach, e se lo sono dico loro di cambiare immediatamente la propria password e di attivare l'autenticazione a più fattori che ormai è una misura di sicurezza diffusa.

Se da un lato non sembrerebbe che il sito sia stato hackerato di per sé, dall'altro dobbiamo constatare che la piattaforma informatica, che ha permesso a qualunque utente del servizio di genealogia genetica di accedere ai dati genetici degli altri iscritti alla piattaforma utilizzando la funzionalità opt-in chiamata DNA Relatives, non sembrerebbe essere conforme ai principi di privacy by design e privacy by default di cui all'art. 25 del GDPR. Generalmente questa funzione viene utilizzata per confrontare il proprio campione con quello di altri appartenenti a gruppi simili allo scopo di scoprire le proprie origini, per esempio dalle persone adottate, oppure per semplice curiosità riguardo alle proprie origini ancestrali.

In questo blog mi sono occupato della privacy del dato genetico in un precedente post La privacy del dato genetico, il caso di FamilyTreeDNA che riguardava la possibilità da parte dell'autorità giudiziaria federale americana di accedere alle banche dati genetiche per attività di law enforcement, attività investigative che hanno permesso di venire a capo di numerosi cold case, nell'articolo veniva citato il caso del cosiddetto Golden State Killer. In questo articolo facevo notare la particolarità del dato genetico in quanto la condivisione o la pubblicazione del dato genetico non riguarda solamente quella persona ma anche tutti coloro che gli sono geneticamente collegati attraverso i lineaggi paterno (Y-DNA) e materno (mtDNA). Uno studio ha dimostrato che basta che in una banca dati sia presente solo il 2% di una popolazione omogenea per fare in modo che tutti siano rintracciabili geneticamente.

Inoltre c'é un altro aspetto, forse il più inquietante. Il rischio è che l'acquisizione di grandi basi di dati genetici potrebbe permettere ad attori internazionali di creare armi biologiche di distruzione di massa che hanno la caratteristica di mirare preferenzialmente a persone di etnie o genotipi specifici mettendo così a rischio la pace mondiale. Lo sviluppo di armi biogenetiche (ethnic bioweapon) era stato ritenuto "politicamente utile" sin dal 2000 in un paper del Project for the New American Century (PNAC) un think tank neoconservatore americano legato al DARPA dal titolo Rebuilding America's Defenses

Nel 2005, grazie al fondamentale finanziamento del DARPA, IBM e National Geographic Society lanciano il primo grande studio di genetica delle popolazioni The Genographic Project. L'obiettivo del progetto era quello di mappare i modelli storici delle migrazioni umane raccogliendo e analizzando campioni di DNA da persone di tutto il mondo. Grazie agli ingenti finanziamenti del DARPA e allo sviluppo di nuove tecnologie di sequenziamento del DNA il progetto ha raccolto campioni genetici da oltre 100.000 persone in 70 paesi. I campioni sono stati analizzati per identificare le variazioni genetiche che si sono accumulate nel corso della storia umana. Il DARPA ha sempre affermato che il suo interesse nel progetto era puramente di natura scientifica.

Possiamo quindi affermare che il dato genetico ha anche la caratteristica di poter essere weaponizzato.


Ricapitolando: consigli per una buona igiene informatica:
In linea generale ti posso dire che casi come questo dimostrano come sia importante mettere in pratica una buona gestione delle password:
  • Utilizza password diverse per account diversi. Questo eviterà che un hacker che scopra la password di un tuo account acceda poi a tutti i tuoi servizi online. Le password dovrebbero avere almeno 12 caratteri e non essere facili da indovinare, come il tuo nome, compleanno o indirizzo. 
  • Cambia le tue password con regolarità. Si consiglia di cambiare le password ogni 3-6 mesi, o più spesso se ritieni che siano state compromesse. 
  • Fai attenzione alle informazioni che condividi online, soprattutto sui social media. Gli hacker possono utilizzare queste informazioni per creare profili falsi o per accedere ai tuoi account. Evita di condividere informazioni personali sensibili, come il tuo indirizzo, numero di telefono o data di nascita.
  • Iscriviti a haveibeenpwned.com per ricevere avvisi quando i tuoi nomi utente, indirizzi e-mail o password compaiono in una violazione, quindi modifica immediatamente quelle password e assicurati che l'autenticazione a più fattori sia attivata su quegli account.
  • Per proteggerti dal furto d'identità, imposta un alert per il tuo nome e cognome con Google Alert. Google Alert è un servizio di rilevamento e notifica delle modifiche dei contenuti su internet che invia email all'utente quando trova nuovi risultati, ad esempio pagine web, articoli di giornale, blog o ricerche scientifiche, corrispondenti ai termini di ricerca impostati dall'utente, in questo caso il proprio nome e cognome.

Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua...

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca ...

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian...