Qual é a coisa mais pessoal que um criminoso poderia roubar? Sua aliança de casamento? Seu telefone? E quanto ao seu código genético?
As informações pessoais de milhões de pessoas que enviaram amostras do seu DNA para serviços de testes ao consumidor foram divulgadas em hacks de alto perfil nos últimos anos, levando a questões sobre o quão seguros são esses dados genéticos.
No outono de 2023, um hacker chamado Golem postou em um conhecido quadro de mensagens para cibercriminosos, anunciando uma coleção de dados roubados da 23andMe , um dos maiores nomes em testes de DNA caseiros. Mais tarde, a empresa reconheceu que o hacker obteve acesso a informações pessoais em 6,9 milhões de perfis de seus usuários.
Parecia ser um ataque com alvo étnico: Golem vangloriou-se de ter acesso às contas de pessoas de ascendência judaica Ashkenazi que tinham enviado o seu DNA para a 23andMe, e ofereceu-se para vendê-lo a quem estivesse disposto a pagar. Começaram a circular notícias sugerindo que a violação de dados, na sexta-feira, 6 de outubro de 2023, pode até ter tido motivações antissemitas.
Uma postagem supostamente de Golem oferecia à venda “agrupamentos étnicos personalizados, conjuntos de dados individualizados, estimativas de origem precisas, detalhes de haplogrupos, informações de fenótipo, fotografias, links para centenas de parentes em potencial e, o mais importante, perfis de dados brutos”. Havia uma escala graduada de preços, variando de 100 perfis por US$ 1.000 (£ 790) a 100.000 perfis por US$ 100.000. “Estão disponíveis perfis de DNA de milhões de pessoas, desde os maiores magnatas dos negócios do mundo até dinastias frequentemente sussurradas em conspirações”, continuava o post. Desde então, foi excluído.
Quatorze milhões de pessoas cuspiram em um frasco e enviaram seu DNA para a 23andMe para análise, em busca de informações sobre sua ancestralidade e saúde. Muitos fazem-no sem pensar muito no que estão fazendo: a série que investiga as consequências imprevistas dos testes de ADN caseiros para a BBC Radio 4 e BBC Sounds intitula-se The Gift porque damos estes kits casualmente como presentes de Natal e de aniversário. A missão declarada da empresa é: “Ajudar as pessoas a acessar, compreender e se beneficiar do genoma humano”.
As violações de dados acontecem o tempo todo, diz Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft. “Esses incidentes são muito comuns e nenhuma empresa está imune”, diz ele. Mas a informação genética é um tipo de dado muito especial: embora você possa alterar suas senhas, números de cartão de crédito ou dados bancários se eles caírem nas mãos de um hacker, você não pode alterar a sequência do seu DNA. “Quando os seus dados de DNA são violados, não há absolutamente nada que você possa fazer a respeito”, diz Callow.
Atingir qualquer grupo com base no que o seu DNA revela sobre a sua herança étnica seria profundamente preocupante. O potencial alvo de indivíduos com herança judaica e chinesa na violação 23andMe foi levantado por uma série de figuras importantes nos EUA, incluindo o procurador geral do Connecticut e um membro da Comissão do Senado dos EUA para a Saúde, Educação, Trabalho e Pensões .
A suposta capacidade dos judeus de se misturarem – de se passarem por brancos – tem estado na raiz das teorias da conspiração antissemitas . Durante o Holocausto, os nazistas forçaram os judeus a usar estrelas amarelas para que pudessem ser imediatamente identificáveis. Uma violação de dados que incluísse estimativas de etnia fornecidas em relatórios de ascendência poderia significar que os judeus que fizeram um teste de DNA poderiam potencialmente ter uma estrela amarela digital permanente ao lado dos seus nomes, fotografias e localização geográfica.
Com os dados de metade dos clientes da 23andMe agora nas mãos de cibercriminosos, a violação afetou claramente muito mais do que apenas os titulares de contas judeus Ashkenazi. Na verdade, em postagens subsequentes no fórum de hackers, Golem supostamente ofereceu os dados de usuários britânicos, alemães e chineses do 23andMe, bem como os da executiva chefe da 23andMe, Anne Wojcicki , de seu ex-marido e fundador do Google , Sergey Brin, de Elon Musk e de membros do a Família Real Britânica.
Para Callow, este nunca foi um ataque antissemita. “Não acredito que o ataque tenha tido motivação racial, étnica ou algo parecido”, diz ele. “A referência ao povo judeu neste post foi para atrair a atenção, para atrair mais atenção.”
Lily Hay Newman, redatora da Wired com foco em hacking, concorda. “É comum tentar empacotar e comercializar seus dados para tentar fazer com que outros criminosos os comprem, para fazê-los parecer valiosos e atraentes”, diz ela.
Quando a notícia da violação de dados da 23andMe foi divulgada pela primeira vez, a reação foi relativamente silenciosa: a atenção dos grupos judaicos estava focada nos ataques que o Hamas lançou contra Israel naquele fim de semana e no aumento de incidentes de ódio antissemita nas semanas que se seguiram. Jornalistas de tecnologia que monitoram o fórum de hackers abordaram a 23andMe para comentar, e a empresa emitiu um comunicado . Nenhum dado genético bruto foi vazado, disseram eles, mas categorias gerais, como sexo, ano de nascimento e resultados de ancestralidade genética e localização geográfica, caíram nas mãos de um chamado “ator de ameaça”.
Pedi uma entrevista à 23andMe. Eles se recusaram a indicar alguém e, em vez disso, me direcionaram para um blog postado em seu site, onde foram atualizados desde a primeira notícia da violação de dados. “O ator da ameaça conseguiu acessar menos de 0,1%, ou cerca de 14.000 contas de usuários, dos 14 milhões de clientes 23andMe existentes por meio de preenchimento de credenciais”, disse o comunicado da 23andMe. “Ou seja, os nomes de usuário e senhas usados no 23andMe.com eram os mesmos usados em outros sites que foram previamente comprometidos ou disponíveis de outra forma.” Em outras palavras, o problema era que os clientes da 23andMe reutilizavam senhas que os hackers conseguiram obter de outros sites.
O preenchimento de credenciais não é hacking, no sentido mais estrito. “São invasores que usam credenciais de login roubadas, como nome de usuário e senha ou endereço de e-mail e senha, para entrar na conta. Então, realmente, não há necessidade de hackear”, diz Newman. “Mas está realmente estabelecido que as senhas são muito difíceis de serem gerenciadas pelos usuários e que a culpa não deve ser dos usuários”.
O hack do 23andMe envolveu muito mais do que as 14 mil contas que a empresa inicialmente alegou terem sido comprometidas. Depois que essas contas foram infiltradas, o hacker conseguiu acumular um conjunto muito maior de dados por meio do recurso DNA Relatives do 23andMe, que permite aos titulares de contas se conectarem com relações genéticas. É um recurso popular – afinal, é por isso que muitas pessoas fazem esses testes. Em resposta a perguntas de jornalistas do TechCrunch em dezembro de 2023, a 23andMe admitiu que, de fato, os dados de 6,9 milhões de utilizadores – aproximadamente uma em cada duas pessoas que enviaram o seu DNA para a empresa – tinham sido violados.
Quando os bancos de dados contêm informações muito confidenciais, geralmente é necessário mais do que uma única senha para acessá-las – pense em fazer login em sua conta bancária on-line, por exemplo. A maioria de nós já está acostumada com a verificação de dois fatores – que utiliza uma etapa adicional, como um código recebido em uma mensagem de texto ou em um aplicativo autenticador – quando usamos nossos cartões de crédito ou visualizamos documentos confidenciais online. Mas antes de outubro de 2023, este não era um requisito necessário para acessar uma conta no 23andMe, embora contivesse dados de ancestralidade genética juntamente com informações geográficas e biográficas.
No entanto, não é a primeira vez que empresas domésticas de testes de DNA têm seus bancos de dados hackeados. Em 2018, os endereços de e-mail e senhas de mais de 92 milhões de usuários do MyHeritage vazaram . A violação 23andMe de outubro de 2023, no entanto, foi a primeira vez que hackers ofereceram os dados para venda. No ano passado, a Comissão Federal de Comércio dos Estados Unidos tomou medidas contra duas empresas de testes de ADN diretos ao consumidor, a CRI Genetics e a 1Health/Vitagene, por não conseguirem manter os dados de DNA seguros.
Independentemente da motivação, qualquer violação que envolva dados genéticos tem consequências potencialmente abrangentes. “Não há como saber quem tem acesso a ele agora, quantas pessoas têm acesso a ele ou o que poderão decidir fazer com ele no futuro”, diz Callow. “Os dados genéticos implicam resultados de saúde em muitos casos, e isso é algo que pode afetar a empregabilidade a longo prazo de uma pessoa ou talvez a probabilidade de morrer precocemente ou de sofrer uma doença debilitante. Potencialmente, estes dados podem ser de interesse para os empregadores ou seguradoras”.
As informações que as empresas de testes de DNA caseiros fornecem aos seus usuários podem fornecer informações sobre o patrimônio genético e alguns indicadores de saúde. Foto: Alamy
Numa época em que um número crescente de decisões financeiras são tomadas por algoritmos que recolhem todas as fontes possíveis de informação sobre um indivíduo, existe uma séria possibilidade de perdas financeiras e discriminação decorrentes de uma fuga de dados genéticos. As companhias de seguros de saúde nos EUA estão proibidas de utilizar informação genética para calcular o risco, mas não existe nenhuma lei federal que proíba a sua utilização pelas companhias de seguros de vida.
É fácil imaginar um cenário em que o vazamento de dados genéticos possa levar a prêmios mais altos de clientes cuja cobertura seja negada inteiramente por causa de seus genes, ou sejam rejeitados para um empréstimo bancário ou hipoteca de longo prazo porque os dados vazados sugerem uma maior probabilidade de o credor desenvolver Alzheimer. e falecendo antes que pudesse ser, foi totalmente reembolsado.
A 23andMe disse que a violação de dados de seus perfis de usuário não incluiu o vazamento de perfis brutos de DNA, mas o hacker ainda teve acesso a relatórios de ancestralidade que forneciam estimativas de etnia, localização geográfica, links para árvores genealógicas e outras informações pessoais. “Sempre que nossas informações pessoais são coletadas, vazadas, hackeadas e entram no ecossistema criminoso, isso alimenta o roubo de identidade”, diz Newman. “Mesmo informações amplas, geográficas, regionais ou sobre etnia podem alimentar a customização de golpes para tentar enganá-lo”.
A 23andMe agora enfrenta várias ações judiciais coletivas nos EUA como consequência da violação de dados. Em janeiro, a empresa admitiu que os hackers começaram a infiltrar-se nas contas dos seus clientes em abril de 2023, e conseguiram continuar durante cinco meses sem serem detectados.
“Proteger a privacidade e segurança dos dados dos nossos clientes continua a ser uma prioridade máxima para a 23andMe e continuaremos a investir na proteção dos nossos sistemas e dados”, afirma a empresa. Agora exige verificação em duas etapas para que todos os clientes acessem suas contas, assim como seus concorrentes, Ancestry e MyHeritage. Nenhuma dessas empresas exigiu isso antes de outubro de 2023.
Mas os investigadores também identificaram recentemente outras formas pelas quais poderá ser possível recolher informação genética sobre pessoas na posse de serviços genéticos de consumo. Um artigo de cientistas da Universidade da Califórnia, em Davis, demonstrou que era possível reconstruir partes do genoma de uma pessoa se um “adversário” carregasse vários genomas falsificados para identificar correspondências com “parentes”.
Mesmo que fosse possível manter dados tão sensíveis como o nosso código genético protegidos contra hackers, não há garantia de que, uma vez consentidos em partilhá-los com uma empresa, eles permanecerão na sua posse. “Essas empresas poderiam ser compradas – a informação poderia ser adquirida dessa forma”, diz Callow. Em dezembro de 2020, a empresa de investimentos de Nova York Blackstone comprou a Ancestry , uma das maiores concorrentes da 23andMe, por US$ 4,7 bilhões (£ 3,7 bilhões). “Além dos dados, estas empresas têm realmente muito pouco valor”, acrescenta Callow. “Eles são inteiramente orientados por dados. Os detalhes genéticos agora podem ser vendidos, negociados, adquiridos, juntamente com outras propriedades intelectuais e ativos corporativos. O DNA tem valor, e esse valor pertence à empresa, não a você.”
Embora a ideia de que meus genes existam agora como um ativo corporativo seja um tanto enervante, eu sabia no que poderia estar me metendo antes de enviar meu DNA para a Ancestry e a 23andMe. Nenhuma das pessoas com quem falei na minha série da BBC se arrependeu de ter feito um teste de DNA em casa: o conhecimento de quem os seus genes dizem que são e como estão ligados ao mundo mudou a vida e vale qualquer risco potencial. Mesmo que você não tenha feito um desses testes, é provável que você tenha um parente próximo que o tenha feito, e uma versão muito próxima do seu código genético pode existir em um banco de dados corporativo.
Seus genes podem já estar por aí, de alguma forma. Quem sabe onde eles podem acabar?
Foto: BBC News
Comente este post