Функція DNA Relatives зіставляє дані клієнтів з даними інших користувачів, аби відшукати генетичні збіги.
Згідно з даними внутрішнього розслідування, хакери початково зламали близько 0,1% акаунтів (або 14 тис. із загалом 14 млн), однак завдяки функції DNA Relatives змогли проникнути й в інші облікові записи — близько 5,5 млн. Додатково 1,4 млн акаунти постраждали через те, що хакери скористалися інформацією профілю Family Tree.
У профілях DNA Relatives містяться конфіденційні дані, як-от імена, прізвища, та місцезнаходження, інформація про ДНК-збіги, потенційні зв’язки та звіти про походження. Натомість профілі Family Tree розкривають інформацію про імена, стосунки, рік народження та місцезнаходження.
Після першого повідомлення про витік у жовтні та проведення початкового розслідування 23andMe заявила, що «витоку результатів генетичного тестування не було».
Для атаки хакери використали логіни та паролі для входу, що дублювались із раніше зламаних сайтів, а згодом оприлюднили отриману інформацію в даркнеті. Дані окремих жертв намагались продати за $1-10. Водночас до оприлюднення новини про злам 23andMe, на іншому хакерському форумі пропонували більшу кількість даних компанії — близько 300 терабайтів продавали за $50 млн.
23andMe радила постраждалим змінити свої паролі, а пізніше запровадила обов’язкову двофакторну автентифікацію. Згодом, компанія додала, що «атаку хакерів вдалось стримати» і, що вона «працює над видаленням опублікованої інформації».
Джерело: TechCrunch, Engadget