تظهر المزيد من التفاصيل حول خرق البيانات الذي أبلغت عنه شركة الاختبارات الجينية 23andMe لأول مرة في أكتوبر. ولكن مع مشاركة الشركة لمزيد من المعلومات، أصبح الوضع أكثر غموضًا ويخلق قدرًا أكبر من عدم اليقين بالنسبة للمستخدمين الذين يحاولون فهم التداعيات.
قالت شركة 23andMe في بداية أكتوبر إن المهاجمين تسللوا إلى بعض حسابات مستخدميها واستفادوا من هذا الوصول لاستخراج البيانات الشخصية من مجموعة فرعية أكبر من المستخدمين من خلال خدمة المشاركة الاجتماعية للشركة المعروفة باسم DNA Relatives. في ذلك الوقت، لم تشر الشركة إلى عدد المستخدمين المتأثرين، لكن المتسللين بدأوا بالفعل في بيع البيانات على المنتديات الإجرامية التي يبدو أنها مأخوذة من ما لا يقل عن مليون مستخدم لـ 23andMe، إن لم يكن أكثر. وفي ملف قدمته لجنة الأوراق المالية والبورصة الأمريكية يوم الجمعة، قالت الشركة إن “ممثل التهديد كان قادرًا على الوصول إلى نسبة صغيرة جدًا (0.1٪) من حسابات المستخدمين”، أو ما يقرب من 14000 نظرًا لتقدير الشركة الأخير بأن لديها أكثر من 14 حسابًا. مليون عميل.
أربعة عشر ألفًا هو عدد كبير من الأشخاص في حد ذاته، لكن الرقم لا يأخذ في الاعتبار المستخدمين المتأثرين بجمع المهاجم للبيانات من أقارب الحمض النووي. أشار ملف هيئة الأوراق المالية والبورصات ببساطة إلى أن الحادث تضمن أيضًا “عددًا كبيرًا من الملفات التي تحتوي على معلومات الملف الشخصي حول أصول المستخدمين الآخرين”.
في يوم الاثنين، أكدت شركة 23andMe لـ TechCrunch أن المهاجمين جمعوا البيانات الشخصية لحوالي 5.5 مليون شخص اختاروا DNA Relatives، بالإضافة إلى معلومات من 1.4 مليون مستخدم إضافي لـ DNA Relatives الذين “تم الوصول إلى معلومات الملف الشخصي لشجرة العائلة الخاصة بهم”. قامت 23andMe بعد ذلك بمشاركة هذه المعلومات الموسعة مع WIRED أيضًا.
من بين مجموعة مكونة من 5.5 مليون شخص، سرق المتسللون أسماء العرض، وآخر تسجيل دخول، وتسميات العلاقات، والعلاقات المتوقعة، والنسبة المئوية للحمض النووي المشترك مع تطابقات أقارب الحمض النووي. في بعض الحالات، كان لدى هذه المجموعة أيضًا بيانات أخرى تم اختراقها، بما في ذلك تقارير السلالة وتفاصيل حول المكان الذي كان لديهم فيه هم وأقاربهم الحمض النووي المطابق على الكروموسومات الخاصة بهم، والمواقع التي أبلغوا عنها ذاتيًا، ومواقع ميلاد الأسلاف، وأسماء العائلة، وصور الملفات الشخصية، وسنوات الميلاد، وروابط لـ أشجار العائلة المنشأة ذاتيًا، ومعلومات الملف الشخصي الأخرى. أما المجموعة الفرعية الأصغر (ولكنها لا تزال ضخمة) والتي تضم 1.4 مليون من مستخدمي DNA Relatives المتأثرين، فقد سُرقت على وجه التحديد أسماء العرض وعلامات العلاقات، وفي بعض الحالات، تأثرت أيضًا سنوات الميلاد وبيانات الموقع المبلغ عنها ذاتيًا.
عند سؤالها عن سبب عدم وجود هذه المعلومات الموسعة في ملف هيئة الأوراق المالية والبورصات، قالت كاتي واتسون، المتحدثة باسم 23andMe، لمجلة WIRED: “نحن نقوم فقط بتوضيح المعلومات المدرجة في ملف هيئة الأوراق المالية والبورصات من خلال تقديم أرقام أكثر تحديدًا”.
