L’imbarazzante caso 23andMe: dà la colpa del data breach subìto agli utenti

Si tratta di un'azienda che fornisce test del DNA e che, quindi, ha a disposizione milioni di dati altamente sensibili degli utenti: 6,9 milioni di persone interessate da un data breach, gestito in maniera approssimativa

05/01/2024 di Gianmichele Laino

Ok, siamo negli Stati Uniti e il GDPR si ferma sulle coste europee dell’Oceano Atlantico. Tuttavia, ci sono degli elementi – nella storia del data breach subito da 23andMe – che non possono non essere presi in considerazione se parliamo di educazione digitale, di gestione della crisi derivante da un attacco hacker e se – soprattutto – parliamo di strumenti a disposizione per tutelare gli archivi digitali che, com’è noto, contengono tanti dati e sono sempre vulnerabili nonostante il progresso delle tecnologie di cybersicurezza. 23andMe è una delle aziende che si occupa di genomica e di biotecnologia più famose al mondo. Non solo perché la sua amministratrice, Anne Wojcicki, è l’ex moglie di uno dei fondatori di Google (Sergey Brin), ma anche per i volumi di dati che gestisce. L’azienda fornisce test del DNA per effettuare diagnosi precoci di malattie genetiche (diagnosi che, dopo uno stop iniziale, sono state riconosciute anche dalla FDA, la Food and Drugs Administration, che negli Stati Uniti regola il settore della medicina e della farmaceutica) e ha un valore da vero e proprio unicorno, stimato in un miliardo di dollari.

LEGGI ANCHE > Il gioco delle tre carte di Meta sui dati con la funzione “cronologia dei link”

23andMe e le scuse davvero irricevibili sulle colpe per il data breach subito

Nell’autunno del 2023, tuttavia, l’azienda è entrata nel mirino di un gruppo di cybercriminali, che è prima entrato in possesso dei dati (milioni di dati!) che fanno parte degli archivi digitali della company biotecnologica e poi li ha diffusi nel dark web. Secondo 23andMe, tuttavia, l’azione dei cybercriminali non può essere etichettata come vero e proprio “data breach” (e anche su questo, forse, ci sarebbe da ridire). L’attacco, infatti, è avvenuto attraverso una sorta di strada parallela: gli hacker hanno utilizzato il credential stuffing, ovvero quella pratica che consente di violare le credenziali degli utenti per accedere ai loro account di 23andMe e da lì impossessarsi dei dati personali. In pratica, non è stato formalmente un attacco diretto a 23andMe, ma una serie di attacchi a chi si è rivolto a 23andMe.

Per questo, i legali dell’azienda biotecnologica hanno risposto alle denunce successive alla fuga di dati (6,9 milioni di dati, derivanti dalla violazione di 14mila account), sostenendo che siano stati gli utenti a essere negligenti e a non aver avuto sufficiente cultura digitale per proteggere i loro account, avendo utilizzato delle password compromesse. Quindi, dati condivisi “a rischio e pericolo degli utenti”. Un po’ come quello che dice, in maniera non corretta, la pagina di termini e condizioni di Vinted.