Testes de DNA: seus dados genéticos podem ser roubados?

Riscos De Criminosos Invadirem Dados Genéticos Em Testes De DNA

O haste flexível guarda valiosas informações genéticas. Caso esses dados caiam em posse inadequada, qual será o desdobramento?

Existe algo de valor tão pessoal que um infrator possa subtrair de você? Seria a sua joia de matrimônio ou o aparelho telefônico móvel?

No mês de outubro do ano de 2023, um indivíduo que afirmava ser o Golem divulgou em um renomado fórum virtual de delinquentes cibernéticos um extraordinário acervo de informações furtadas da 23andMe, uma das empresas de análise de DNA residencial mais conceituadas do mercado.

Mais tarde, a organização admitiu que o cibercriminoso obteve acesso aos dados pessoais de 6,9 milhões de perfis de usuários.

O ataque parece ter sido direcionado com base em etnia. Golem se gabou de ter obtido acesso às contas de indivíduos com histórico de descendência judaica ashkenazi (com origem na Europa central e oriental) que haviam enviado suas informações genéticas à 23andMe. Ele colocou os dados à venda para aqueles que pudessem arcar com o valor.

Ignore os artigos sugeridos e continue sua leitura.

Encerramento das Sugestões de Leitura

Notícias começaram a ser veiculadas indicando que o vazamento de informações ocorrido na sexta-feira,6 de outubro de 2023, pode ter sido motivado por preconceito contra judeus.

De acordo com supostas postagens atribuídas a Golem, há disponíveis para venda pacotes de informações étnicas específicas, dados personalizados, estimativas de origem, detalhes de haplogrupos, informações sobre aparência física, fotos, links para possíveis parentes e, principalmente, perfis brutos de dados.

Ignore o Podcast e continue lendo.

Um podcast apresenta gravações de reportagens escolhidas.

Havia uma gama de preços escalonados, oscilando de 100 perfis por US$ 1 mil (aproximadamente R$ 4,94 mil) até 100 mil perfis por US$ 100 mil (aproximadamente R$ 494 mil).

A publicação, que já foi removida, continuava informando que estão disponíveis para compra os perfis genéticos de milhões de indivíduos, incluindo grandes empresários e famílias frequentemente citadas em teorias conspiratórias.

Cerca de quatorze milhões de indivíduos depositaram sua saliva em recipientes para encaminhar seu material genético para exame pela 23andMe, a fim de terem acesso a dados relacionados à saúde e origens ancestrais. Poucos destes participantes avaliaram com cuidado o que estavam confiando à mencionada empresa.

O meu programa de rádio na BBC Radio 4, que aborda as inesperadas implicações dos testes de DNA caseiros, tem como título The Gift ("O Presente"), pois muitas pessoas oferecem esses kits de forma casual a amigos e familiares durante o Natal e aniversários.

A organização estabelece sua meta como "auxiliar os indivíduos a terem acesso, compreender e aproveitar os benefícios do genoma humano".

Eu fiz um teste da 23andMe durante a gravação da série, o qual revelou minha descendência pessoal de judeus asquenazes. Entretanto, hoje em dia, pode ser que meus dados estejam sendo vendidos como parte de uma oferta de um hacker.

Refletindo sobre essa circunstância, questiono-me se informações delicadas, tais como nosso patrimônio genético, terão a possibilidade de serem protegidas online.

De acordo com relatos, o perfil genealógico de Anne Wojcicki, co-fundadora da 23andMe, pode ter sido um dos conjuntos de informações expostos durante a violação de dados da sua empresa.

De acordo com o especialista em perigos cibernéticos, Brett Callow, da companhia de segurança virtual Emsisoft, ocorrem frequentemente rupturas de informações. Para ele, "tais ocorrências são bastante corriqueiras e nenhum empreendimento é à prova de falhas".

As informações genéticas são um tipo de dados excepcionalmente único. Se um hacker obtiver suas senhas, número de cartão de crédito ou dados bancários, você pode alterá-los. Entretanto, a sequência do seu DNA não pode ser modificada.

Segundo Callow, caso ocorra o vazamento dos seus dados de DNA, não há absolutamente nada que possa ser feito.

Seria alarmante se algum grupo pretendesse encontrar pessoas específicas com base nas informações étnicas em seus dados genéticos.

Diferentes personalidades dos Estados Unidos, como o Procurador-Geral do Estado de Connecticut e um membro do Comitê de Saúde, Educação, Trabalho e Pensões do Senado americano, sugeriram a possibilidade de investigar se pessoas com histórico judaico ou chinês foram afetadas pelo vazamento de dados da 23andMe.

Existem várias especulações conspiracionistas antissemitas que abordam a temática genética dos judeus.

Durante o período do Holocausto, os nazistas coercitivamente implementaram um mandato que exigia que os judeus trajassem vestes adornadas com estrelas amarelas, como forma de efetivar sua distinção imediata.

Atualmente, uma divulgação de informações que contemplem cálculos de ancestralidade em relatórios genéticos pode ocasionar que indivíduos judaicos, que tenham se submetido a um teste de DNA, sejam identificados permanentemente por uma "marcação digital" em suas inscrições, imagens e posição geográfica.

Com informações pertencentes a 50% dos consumidores da empresa 23andMe nas mãos de hackers, o incidente claramente impactou muito além dos clientes de origem judaica asquenaze.

De acordo com postagens adicionais no fórum dos hackers, Golem teria oferecido informações de usuários do 23andMe do Reino Unido, Alemanha e China, juntamente com a diretora executiva da empresa, Anne Wojcicki, e seu ex-marido, o fundador do Google, Sergey Brin, Elon Musk e membros da família real britânica.

Para Callow, essa situação não se tratou de um ato discriminatório contra os judeus.

Ele argumenta que não há motivação racial, étnica ou algo do tipo por trás do ataque. A menção às pessoas de origem judaica na postagem teve o objetivo de chamar a atenção e aumentar a quantidade de visualizações.

Lily Hay Newman, especialista em hackers da revista americana Wired, está de acordo.

Ela explica que é frequente a prática de tentar empacotar e publicitar informações com o objetivo de vendê-las para outros delinquentes, de modo que elas aparentem ser valiosas e cativantes.

Quando a notícia do compartilhamento indevido de informações da 23andMe foi divulgada, a resposta do público foi relativamente discreta. Isso porque os grupos judaicos estavam prestando atenção aos ataques do Hamas contra Israel naquele final de semana, bem como ao aumento dos incidentes de preconceito antissemita nas semanas seguintes.

Profissionais de imprensa que se especializam em tecnologia e mantêm o controle de fóruns de hackers solicitaram opiniões à 23andMe, e a corporação respondeu com uma declaração.

Ela afirmou que não houve vazamento de dados genéticos brutos, porém informações genéricas, como gênero, ano de nascimento, resultados de ancestralidade genética e localização geográfica, foram entregues para um indivíduo considerado como uma possível ameaça.

Solicitei uma entrevista para a empresa 23andMe, porém, fui informado de que não seria possível fornecer um representante. Em vez disso, me indicaram um artigo do blog presente no site da empresa que vem sendo atualizado desde que foi revelado o incidente envolvendo o compartilhamento de dados.

De acordo com a declaração da empresa, o invasor ameaçador conseguiu acessar menos de 0,1% ou aproximadamente 14 mil contas de usuários dentre os 14 milhões de clientes da 23andMe, utilizando credenciais fraudadas.

Em outras palavras, os nomes de usuário e senhas empregados no site 23andMe.com eram idênticos aos que haviam sido utilizados em outras páginas que foram previamente violadas ou tornadas públicas de alguma forma.

Resumindo, os usuários da plataforma 23andMe utilizaram senhas já comprometidas pelos hackers em outros sites. Esse foi o motivo do problema.

O ato de digitar informações de login não pode ser considerado como algo que os hackers fazem, tecnicamente falando.

Newman explica que os delinquentes utilizam identificações de login furtadas, tais como um nome de usuário e senha ou um e-mail e senha, para adentrarem a conta através da entrada principal. Segundo ele, tal ação não demanda habilidades de pirataria.

"Contudo, temos consciência de que é uma tarefa árdua para os utilizadores gerir as suas palavras-passe e não podemos atribuir-lhes a responsabilidade integral", acrescenta o mesmo.

A divulgação de informações da 23andMe acabou afetando um número maior do que as 14 mil contas que a empresa havia afirmado inicialmente que foram afetadas.

Após se infiltrar em tais contas, o especialista em invasão conseguiu acumular uma quantidade ainda maior de informações utilizando uma funcionalidade do website denominada "Parentes do DNA". Essa ferramenta permite que aqueles que possuem as referidas contas se conectem com outros parentes de sangue através do banco de dados. É bastante utilizada e foi exatamente por seu uso que muitas pessoas se submetem a esses testes.

Em dezembro de 2023, a equipe do TechCrunch questionou a 23andMe sobre a possibilidade de vazamento de dados e, em resposta, a empresa admitiu que informações de 6,9 milhões de usuários foram indevidamente acessadas - o que representa quase metade dos indivíduos que utilizaram os serviços de análise genética.

Para Segurança Online

Quando informações altamente sensíveis são armazenadas em bancos de dados, é comum que seja necessário fornecer mais de uma senha para acessá-las.

Considere o momento em que você acessa a sua conta digital bancária. A grande parte das pessoas já está familiarizada com a autenticação bifásica, a qual adiciona uma verificação extra por meio de um código recebido em uma mensagem SMS ou em um aplicativo de autenticação.

Até outubro de 2023, não havia a obrigatoriedade de dupla verificação para acessar as contas da 23andMe, apesar de conter dados de ancestralidade genética, geográficos e biográficos armazenados em conjunto.

Essa situação já ocorreu anteriormente, quando empresas que realizam testes de DNA tiveram suas bases de dados invadidas. Em 2018, foram expostos os endereços de email e as senhas de mais de 92 milhões de usuários da empresa MyHeritage.

No entanto, o episódio de divulgação da 23andMe em outubro de 2023 representou o marco inicial em que os invasores cibernéticos disponibilizaram as informações obtidas para comercialização.

No ano passado, a Comissão Federal de Comércio dos Estados Unidos agiu contra duas empresas que oferecem testes de DNA diretamente aos clientes: CRI Genetics e 1Health/Vitagene. Essas ações foram motivadas por problemas relacionados à segurança dos dados de DNA.

Independentemente da razão, qualquer exposição relacionada a informações genéticas pode desencadear efeitos significativos e de grande proporção.

De acordo com Callow, é impossível determinar atualmente quem possui acesso, quantas pessoas têm e quais decisões elas poderão tomar no futuro.

Em diversas situações, as informações genéticas apresentam previsões concretas de saúde. Isso se torna decisivo para a carreira de alguém ao longo do tempo, assim como para a possibilidade de falecer prematuramente ou enfrentar uma enfermidade incapacitante. Possivelmente, tais dados poderiam interessar a empregadores ou companhias seguradoras.

As empresas que prestam serviços de testes caseiros de DNA fornecem informações para seus consumidores, que englobam tanto sua linhagem genética quanto referências de bem-estar.

Em uma época em que algoritmos são cada vez mais responsáveis pelas escolhas financeiras, sendo capazes de analisar todas as fontes de informação disponíveis sobre um indivíduo, pode haver prejuízos financeiros e discriminação caso haja divulgação dos dados genéticos.

As empresas de seguros de saúde dos Estados Unidos são proibidas de utilizar informações genéticas como base para aferir riscos, no entanto, não há uma lei federal que vede tal prática na área de seguros de vida.

Assim, é possível visualizar claramente a situação: se informações genéticas forem divulgadas, os prêmios de seguros podem aumentar ou determinados clientes podem ser recusados por causa de suas características genéticas. A concessão de financiamentos ou empréstimos a longo prazo pode ser negada se houver dados vazados que indiquem uma maior probabilidade do tomador do empréstimo desenvolver o mal de Alzheimer e falecer antes de conseguir pagar integralmente o montante do empréstimo. Isso pode gerar sérios prejuízos financeiros para o cliente.

A empresa 23andMe divulgou que a violação de segurança dos perfis dos seus usuários não resultou na divulgação dos perfis de DNA puros. No entanto, o invasor ainda conseguiu acessar os relatórios de ancestralidade que contêm avaliações de origem étnica, locais geográficos, conexões com árvores genealógicas e outros dados pessoais.

Newman declara que, toda vez que nossos dados pessoais são revelados, divulgados, invadidos ou se infiltram no ambiente do crime, eles alimentam a prática de roubo de identidade.

Até mesmo dados abrangentes, dados cartográficos, detalhes locais ou diferenças culturais podem conduzir à personalização de estratagemas com o propósito de ludibriá-lo.

A empresa 23andMe está enfrentando várias ações coletivas nos Estados Unidos devido à divulgação de informações.

Em janeiro passado, a organização reconheceu que invasores começaram a se infiltrar em contas de seus usuários em abril de 2023 e conseguiram persistir indetectáveis por cinco meses.

A empresa assegura que manter a segurança e preservar a privacidade das informações dos clientes é de suma importância para a 23andMe. Por isso, serão direcionados recursos para o contínuo aprimoramento e segurança dos sistemas e dos dados.

Atualmente, o sistema requer uma autenticação em duas etapas para que todos os usuários possam acessar suas contas, assim como Ancestry e MyHeritage, seus competidores. Nenhuma dessas companhias demandava essa obrigação até o mês de outubro de 2023.

No entanto, especialistas também descobriram recentemente outras maneiras que tornam possível coletar informações genéticas das pessoas, guardadas pelos serviços de testes genéticos disponibilizados diretamente ao consumidor.

Uma pesquisa realizada por pesquisadores da Universidade da Califórnia em Davis, nos Estados Unidos, comprovou que é viável reestruturar partes do genoma de um indivíduo através da utilização de múltiplos genomas falsos pelo oponente, a fim de encontrar semelhanças com "parentes".

Ainda que fosse viável resguardar particularidades delicadas, como nossa composição genética, de invasores virtuais, não há nada que assegure que, ao concedermos a uma corporação o acesso a essas informações, elas permanecerão sob sua tutela.

Callow argumenta que essas empresas estão disponíveis para compra e que informações sobre elas podem ser obtidas dessa maneira.

No mês de dezembro do ano de 2020, a companhia investidora situada em Nova York, Blackstone, adquiriu a Ancestry, uma das maiores rivais da 23andMe, por um valor de US$ 4,7 bilhões, equivalente a cerca de R$ 23,2 bilhões.

Segundo Callow, essas empresas possuem escasso valor além das informações.

Elas são completamente orientadas pelos dados. As informações genéticas agora podem ser negociadas, transacionadas, agregadas a outras propriedades intelectuais das empresas e adquiridas com outros ativos. O material genético tem um preço significativo, mas esse preço pertence às empresas e não a você.

A Blackstone negou-se a conceder uma declaração à BBC em relação a esse assunto.

Apesar de a noção de meus genes serem agora propriedade de uma empresa ser um pouco inquietante, eu estava ciente dos possíveis riscos antes de enviar minha amostra de DNA para a Ancestry e a 23andMe.

Nenhuma das pessoas com as quais eu dialoguei para a minha série da BBC se arrependeu de ter feito um teste de DNA caseiro. Conhecer sua identidade genética e como elas estão relacionadas com o mundo transformou sua vida e justificou qualquer potencial ameaça.

Mesmo que você não tenha se submetido a nenhum desses exames, é possível que um parente próximo tenha feito isso - e uma variante muito similar do seu ADN pode estar retida em um repositório empresarial.

Talvez, seus genes já tenham se disseminado por aí, de alguma maneira. Não é possível prever onde eles vão acabar.

Recomendamos que você confira a série The Gift, da BBC Rádio 4, disponível no site BBC Sounds. Essa reportagem se originou de um episódio especial chamado Hacked, que explora o vazamento de dados da empresa 23andMe e questiona a segurança das informações genéticas armazenadas online.