NEWS

In vendita nel Dark Web i dati di derivazione genetica di un milione di utenti di origine ebraica

Nel 2003, a seguito di un decennio di incredibili e costosissimi sforzi, si concludeva la fase principale dello “Human Genome Project”, il quale aveva come obiettivo quello di identificare e mappare i geni del genoma umano sia dal punto di vista fisico che funzionale. Ad esattamente vent’anni di distanza, gli incredibili passi in avanti fatti dalla scienza in questo campo permettono a società come 23andMe di offrire servizi nell’ambito dei test genetici che in passato sembravano fantascienza.

23andMe sotto assedio, un hacker ruba milioni di profili

In particolare, in maniera diametralmente opposta rispetto allo Human Genome Project, è ora possibile, per un centinaio di dollari, inviare un proprio campione di saliva e ricevere, entro un mese, tutta una serie di incredibili informazioni derivate dal proprio DNA, dalle proprie origini geografiche fino alla probabilità di sviluppare talune particolari malattie ereditarie. E tutte queste informazioni sono visibili anche tramite un account attivabile sul sito di 23andMe.

Se da un lato questa tipologia di servizio può suscitare meraviglia e interesse, dall’altro, in ambito privacy, le perplessità sono innumerevoli.

Per quanto sia chiaro anche ai non esperti del settore, conviene comunque ribadire che i dati genetici sono una delle principali categorie di dati particolari, oltretutto esemplificata proprio al paragrafo 1 dell’art. 9 del GDPR. Data l’importanza di tale categoria di dati personali particolari, le misure tecniche e organizzative ex art. 32 del Regolamento UE da applicare per garantire un livello di sicurezza adeguato al rischio che il Titolare del trattamento deve adottare in questo caso sono notevolmente maggiori rispetto ad, esempio, ad un account creato per un semplice forum di discussione o per un e-commerce per l’acquisto di prodotti alimentari.

Purtroppo, a quanto pare, 23andMe non sembra aver implementato tutto quanto necessario alla tutela di tali particolari dati ed anzi, sembra abbia cercato, in parte, di spostare l’onere dell’implementazione di un’adeguata sicurezza sugli utenti stessi.

Infatti, di recente la società in questione ha annunciato di aver subito una “fuga di dati” di circa un milione di profili di utenti con origini ebree Ashkenazite, che ora sono in vendita sul Dark Web al prezzo di circa dieci dollari ad account. Oltre che a riportare alla mente periodi bui dell’umanità, data la categoria etnico-religiosa coinvolta nella violazione, l’annuncio di 23&Me solleva alcune problematiche a livello privacy.

La società ha volutamente parlato di “fuga di dati” e non di “violazione” in quanto afferma che l’attacco hacker subito è di tipo “credential stuffing” e che, quindi, fosse dovuto alla disattenzione dell’utente e non alla mancata compliance della società con la normativa sulla protezione dei dati personali. Infatti, tale tecnica di attacco consiste nello sfruttare credenziali rubate per ottenere i privilegi di accesso su vari siti, indipendentemente dal fatto che i siti sui quali si sta provando ad effettuare il login, siano o meno stati oggetto di attacchi in precedenza. Quindi, gli utenti coinvolti nella violazione, avendo pigramente deciso di utilizzare la stessa password per più siti e non avendo attivato l’opzionale autenticazione a due fattori così come suggerito da 23andMe, sarebbero interamente colpevoli della c.d. “fuga di dati”.

Tale visione della realtà, se risulta soddisfacente per una società che cerca di rifuggire dalla propria accountability, certamente non è corretta se vista sotto la lente della compliance Privacy.

Infatti, non è possibile, vista la tipologia di dati personali ed i correlati rischi per i diritti e le libertà dell’interessato rappresentanti da una loro potenziale violazione, lasciare come unica misura di protezione una password alfanumerica. Si può innanzitutto intervenire a livello di design, prevedendo, ad esempio, la necessità di una lunghezza minima della password di 12/14 caratteri invece degli 8 di consueto previsti, costringendo quindi gli utenti “pigri” a modificare, almeno in parte, le loro scorrette abitudini digitali. A livello di sistema, invece, la società avrebbe potuto, ad esempio, implementare un sistema per rilevare l’accesso anomalo da Paesi dai quali normalmente non viene fatto oppure da device diversi rispetto a quelli solitamente utilizzati.

23andMe ha annunciato di aver subito una “fuga di dati” di circa un milione di profili di utenti con origini ebree Ashkenazite

Inoltre, del milione di utenti i cui profili sono stati rubati, non tutti sono stati violati tramite la tecnica “credential stuffing”. Una volta avuto accesso agli account di alcuni degli utenti tramite la suddetta tecnica, i malintenzionati hanno proceduto a fare data scraping di coloro che, nonostante l’accortezza di non aver riutilizzato la stessa password per più credenziali, avevano però attivato l’opzione di poter essere contattati da soggetti che risultavano, a seguito del test del DNA, quali parenti, anche alla lontana. È probabile, se non certo visti i numeri coinvolti, che il data scraping sia stata effettuato tramite crawlers (cioè, un software che analizza i contenuti di una rete in modo metodico e automatizzato), il quale provoca un’attività dell’utente molto diversa rispetto ad un utente che sia un essere umano.

Com’è possibile che le misure tecniche informatiche adottate da 23andMe non prevedano un’attenzione particolare a tali attività ripetitive su vasta scala e in una finestra temporale molto piccola?

Quindi, ancora una volta, ad un occhio superficiale sembrerebbe che la colpa ricada su di una scelta poco oculata dell’utente più che sulla mancata compliance con la normativa sulla privacy da parte del titolare del trattamento. E ancora di più in questo caso, com’è possibile che una feature del sistema stesso provochi una così grave fuga di dati? Come può un sistema informatico del genere rispettare i principi della Privacy by Design e by Default ex art. 25 del GDPR? Inoltre, al Considerando 51 dello stesso GDPR si ribadisce come “meritino una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica…”. Tuttavia, da come abbiamo visto fino a questo momento, pare che tali dati personali particolari non abbiano ricevuto una specifica protezione di dati personali.

In conclusione, per quanto a prima vista l’anello debole sembri essere l’utente, è in realtà l’intera catena a non essere stata, di design, progettata per tutelare in maniera adeguata categorie particolari di dati personali. Una società, titolare del trattamento, che per core business abbia il trattamento di dati genetici e dei loro derivati non può non progettare il proprio sistema informatico e il proprio sito internet in modo così superficiale da permettere che una singola, superficiale, scelta da parte dell’utente provochi così gravi conseguenze, visto anche l’attuale accesissimo clima geopolitico.

Note Autore

Matteo Alessandro Pagani Matteo Alessandro Pagani

Avvocato, Socio Fondatore PLS Legal, Delegato Federprivacy nell'area metropolitana di Milano - Web: www.plslegal.eu

Prev Con il trojan low cost chiunque può violare la vostra privacy spiandovi attraverso lo smartphone
Next Cybersicurezza, urgente correre ai ripari per le imprese italiane

Privacy Day Forum 2023: il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy