I test sul DNA saranno il vostro nuovo incubo | Rubati e venduti milioni di dati genetici

Una celebre azienda statunitense che opera nella biotecnologia genomica è stata vittima di un attacco hacker, ora i dati sono alla mercé del Dark Web!

Un tempo bastava un lucchetto. Poi i ladri si sono ingegnati, e abbiamo finito per costruire le casseforti e i caveau. Ma nemmeno così si ha la matematica certezza di essere al riparo dai furti. E ciò vale ancor di più per il mondo digitale. Non basta certo una password a farci dormire sonni tranquilli. L’autenticazione a due fattori offre già una ragionevole sicurezza, ma in un mondo in cui imperversano gli hacker, è sempre meglio tenere un occhio mezzo aperto. Nessun sistema di cybersecurity sembra essere totalmente impermeabile ad attacchi informatici, e sono tanti i casi eclatanti solo nell’ultimo anno, basti pensare alla breccia nel sistema sanitario della regione Lazio, che ha minacciato i dati sensibili di migliaia di pazienti.

E se gli hacker arrivassero a compromettere sistemi ancor più sensibili, che contengono informazioni letteralmente vitali come il DNA e altri dati genomici degli utenti? A quanto pare è successo, e ora nessuno può dirsi davvero al sicuro.

Io, me e gli hacker

23andMe è una delle aziende di genomica più note al grande pubblico. Fondata Negli Stati Uniti nel 2006 e quotata in Borsa all’indice NASDAQ, è una delle principali realtà che si occupa di analisi genomica in ambito puramente consumer. Tradotto: un utente che usufruisce dei suoi servizi, paga per avere accesso a test del DNA che possono rivelargli informazioni preziose su tratti ereditari, genealogia e possibili fattori di rischio congeniti.

Per un modico prezzo si può ordinare a casa il kit per il test, che consiste nel semplice prelievo di un campione salivare, da rispedire poi al laboratorio dell’azienda. Qui vengono effettuati una serie di esami dai quali si può risalire alla composizione della propria ascendenza: quanta percentuale di sangue asiatico abbiamo? Da dove provengono i nostri antenati? Di quali malattie ereditarie soffrivano, e in che percentuale possiamo aspettarci che queste possano manifestarsi in noi? Posso scoprire parenti lontanissimi di cui non sospettavo l’esistenza, comparando i miei risultati con una banca dati di portata globale? 23andMe può fornire le risposte a queste e molte altre domande.

Forse un giorno riuscirà anche a rispondere alla domanda più impellente: come ha fatto un gruppo di hacker a penetrare nei suoi sistemi informatici e sottrarre i dati di un numero imprecisato di utenti?

Furto alla banca…dati

L’azienda ha emesso un comunicato sul suo blog ufficiale, dichiarando di essere stata vittima di un attacco hacker, a seguito del quale i dati personali di un numero imprecisato di utenti che si è sottoposto al test del DNA sono circolati nel Dark Web, in vendita al miglior offerente.

Abbiamo recentemente scoperto che le informazioni di alcuni profili di clienti di 23andMe che avevano accettato di condividere informazioni tramite la nostra funzione DNA Relatives, sono state compilate da account individuali senza l’autorizzazione degli utenti stessi. Con il sospetto di attività illecite, abbiamo approfondito le indagini. Crediamo che attori malevoli siano in grado di accedere a determinati account in situazioni in cui gli utenti fanno uso di credenziali riciclate – ovvero utilizzando come username e password per i nostri servizi, credenziali che utilizzano anche per altri siti. (…) riteniamo quindi che tali attori siano stati in grado di ottenere informazioni sensibili relative agli account in questione, incluse informazioni circa i profili relativi al servizio DNA Relatives. (…) siamo ricorsi al parere di esperti forensi di terze parti, e stiamo collaborando con ufficiali federali. Stiamo contattando i nostri utenti fornendogli aggiornamenti sulla questione e li incoraggiamo ad adottare azioni ad aumentare la sicurezza dei loro account e password.

– 23andMe Blog, Addressing Data Security Concerns – 9 ottobre 2023

Secondo il portale BleepingComputer, gli hacker starebbero rivendendo i dati trafugati in alcuni forum del Dark Web, dove sono comparsi dei versi e propri prezziari relativi alla vendite di stringe di codice genetico, in particolare di individui con ceppo aschenazita, le cui generalità vengono vendute all’ingrosso, per cifre complessive che arrivano a 100.000 dollari!

Ovviamente la compravendita di dati del genere, oltre ad essere illegale, pone una problematica seria in materia di sicurezza personale dei proprietari degli account violati, che potrebbero vedersi da un giorno all’altro minacciati o vittime di soprusi legati a motivazioni razziali. Una deriva distopica e particolarmente inquietante di una situazione del genere potrebbe vedere questi dati comprati da gruppi di suprematisti, razzisti e xenofobi con la volontà di organizzare spedizioni punitive o ricattatorie nei confronti dei soggetti vittima del furto. Insomma si tratta di una situazione potenzialmente molto preoccupante, sulla quale ci auguriamo che le polizie postali di tutti il mondo riescano a venire a capo.

Al momento non ci sono informazioni chiare su quanti dati sarebbero stati trafugati, ma PCMag riporta la dichiarazione di un hacker secondo cui sarebbero stati compromessi ben 7 milioni di account, equivalenti alla metà del totale degli utenti del servizio 23andMe!