- David Polách
Společnost 23andMe je americká korporace obchodovaná na burze. Její byznys se zaměřuje na osobní genomiku a biotechnologie. Nejznámějším produktem společnosti je poskytování genetických testů koncovým zákazníkům, kterým je na základě výsledků poskytnuta zpráva ohledně jejich původu a genetických predispozic zaměřená zejména na zdraví. Výsledky jsou přístupné prostřednictvím profilu jednotlivých uživatelů na stránkách společnosti. A dle dostupných informací jsou právě toto informace, které se dostaly na veřejnost. Na hackerských fórech byl zveřejněn soubor obsahující osobní údaje o více než 7 milionech uživatelů služby 23andMe. To má být více než polovina celkového počtu zákazníků společnosti.
O zákaznících byla zveřejněna velmi důvěrná osobní data – fotografie, informace o jejich zdraví, datum narození, geolokační údaje a fenotyp uživatelů. Pod fenotypem si můžete představit širokou škálu informací – fyzický vzhled (barva očí či vlasů, fyzické charakteristiky těla), chování jedince (temperament), zdravotní stav (včetně náchylnost k nemocem a různým predispozicím) inteligenci či osobnost. Autenticita údajů byla společností potvrzena.
Společnost 23andMe však popírá, že by k úniku těchto informací došlo v důsledku bezpečnostního incidentu v jejich systémech. Shromáždění osobních dat o uživatelích vysvětluje tím, že útočník využil přihlašovací údaje uživatelů, které unikly z jiných stránek, aplikací či systémů. Útočník informace následně sesbíral pomocí funkce „DNA relatives“. Ta slouží k propojení osob se společnými předky a vystopování vzdálených částí rodiny. Tato funkce není zapnuto automaticky – k jejímu užívání se musí uživatelé sami přihlásit. Podle tvrzení společnost tedy byla využita technika „scraping“ tedy shromažďování dat, ke kterým je možné se dostat bez zneužívání chyb systémů, krádeže osobních údajů apod. Z tvrzení společnosti tak vyplývá, že došlo k vytěžení dat, která o sobě zákazníci sami zveřejnili prostřednictvím funkce „DNA relatives“. Vzhledem k rozsahu publikovaných údajů je zřejmé, že data byla shromážděna z více účtů. Útočník pak výše zmíněná data nabízel k prodeji – jejich cena se lišila podle množství profilů, které by si zájemce koupil. Cena se pohybovala od 1 do 10 USD za jeden profil.
V souvislosti s únikem dat společnost po svých uživatelích vyžaduje změnu hesel a vyzývá je k zavedení vícefaktorové autentizace. Otázka, která všemu výše uvedenému ovšem předchází – a v souvislosti s únikem se na internetu objevuje často – je, zda výhody poskytnuté služby vůbec převažují nad tím, že takto osobní údaje jsou umístěny na internetu.
