Como criminosos podem se aproveitar de testes de DNA para roubar dados genéticos

O cotonete esconde informações genéticas preciosas. O que poderá acontecer se esses dados caírem nas mãos erradas?

O que você tem de mais pessoal que um criminoso possa roubar? Sua aliança de casamento? Seu celular?

E o seu código genético?

Em outubro de 2023, um hacker que se identificou como Golem anunciou em um conhecido fórum online de cibercriminosos um surpreendente conjunto de dados roubados da 23andMe, um dos maiores nomes do setor de testes domésticos de DNA.

A empresa reconheceu posteriormente que o hacker teve acesso às informações pessoais de 6,9 milhões de perfis de usuários.

O ataque parecia ser etnicamente dirigido. Golem se vangloriou de ter conseguido acesso às contas de pessoas com antecedentes judeus asquenazes (com origem na Europa central e oriental), que haviam enviado seu DNA para a 23andMe. Ele ofereceu os dados à venda para quem tivesse condições de pagar.

Começaram a circular notícias indicando que o vazamento de dados de sexta-feira, 6 de outubro de 2023, pode até ter tido motivações antissemitas.

Uma postagem supostamente atribuída a Golem ofereceu para venda “agrupamentos étnicos direcionados, conjuntos de dados individualizados, estimativas indicadas de origem, detalhes de haplogrupos, informações de fenótipos, fotografias, links para centenas de possíveis parentes e, o principal, perfis de dados brutos”.

Havia uma escala de preços graduada, que variava de 100 perfis por US$ 1 mil (cerca de R$ 4,94 mil) até 100 mil perfis por US$ 100 mil (cerca de R$ 494 mil).

“Estão em oferta os perfis de DNA de milhões de pessoas, desde os principais magnatas corporativos do mundo até famílias frequentemente mencionadas em teorias da conspiração”, prosseguia a postagem, que já foi apagada.

Quatorze milhões de pessoas colocaram sua saliva em ampolas e enviaram seu DNA para a 23andMe para análise, em busca de informações sobre sua saúde e ancestralidade. Muitas dessas pessoas não pensaram muito sobre o que estavam fornecendo para aquela empresa.

Minha série de programas de rádio sobre as consequências inesperadas dos testes domésticos de DNA para a BBC Rádio 4 chama-se The Gift (“O Presente”), porque muitas pessoas dão esses kits casualmente aos amigos e parentes como presentes de Natal e de aniversário.

A empresa define sua missão como “ajudar as pessoas a ter acesso, compreender e se beneficiar do genoma humano”.

Eu mesmo fiz um teste com a 23andMe enquanto gravava a série. Ele revelou minha própria ancestralidade judia asquenaze. Mas, agora, talvez os meus dados façam parte de um pacote que um hacker tentou vender.

Esta situação me fez imaginar se informações sensíveis como nosso código genético poderão, algum dia, ser mantidas em segurança online.

O perfil genético de Anne Wojcicki, uma das fundadoras da 23andMe, era um dos supostamente incluídos no vazamento de dados da sua empresa

Vazamentos de dados acontecem a todo momento, segundo o analista de ameaças Brett Callow, da empresa de cibersegurança Emsisoft. Para ele, “esses incidentes são muito comuns e nenhuma companhia está imune”.

Mas as informações genéticas formam um tipo de dados muito especial. Você pode alterar suas senhas, seu número de cartão de crédito ou seus dados bancários se eles caírem nas mãos de um hacker. Mas você não pode mudar a sua sequência de DNA.

“Quando os seus dados de DNA vazam, não existe absolutamente nada que você possa fazer a respeito”, afirma Callow.

A busca específica de qualquer grupo com base no que o seu DNA revela sobre sua ancestralidade étnica seria algo profundamente preocupante.

A possibilidade de busca de indivíduos com antecedentes judeus ou chineses no vazamento da 23andMe foi levantada por uma série de figuras importantes nos Estados Unidos, como o procurador-geral do Estado de Connecticut e um membro do Comitê de Saúde, Educação, Trabalho e Pensões do Senado americano.

Muitas das teorias da conspiração antissemitas envolvem menções a aspectos genéticos dos judeus.

Durante o Holocausto, os nazistas forçaram os judeus a usar estrelas amarelas nas roupas para que pudessem ser imediatamente identificados.

Agora, um vazamento de dados que incluísse estimativas de etnia fornecidas em relatórios de ancestralidade poderia fazer com que as pessoas judias que fizessem um teste de DNA passassem a ter uma “estrela amarela digital” permanente ao lado dos seus nomes, fotografias e localização geográfica.

Antissemitismo ou autopromoção?

Com os dados de metade dos clientes da 23andMe agora nas mãos dos cibercriminosos, o vazamento claramente afetou muito mais do que apenas os seus clientes judeus asquenazes.

Afinal, em postagens posteriores no fórum dos hackers, Golem supostamente ofereceu os dados de usuários britânicos, alemães e chineses do 23andMe, além da própria executiva-chefe da empresa, Anne Wojcicki, e do seu ex-marido, do fundador da Google, Sergey Brin, de Elon Musk e de membros da família real britânica.

Para Callow, este não foi um ataque antissemita.

“Não acredito que o ataque tivesse motivação racial, étnica ou algo similar”, afirma ele. “A referência às pessoas judias nessa postagem foi para atrair a atenção, para conseguir mais visualizações.”

A especialista em hackers Lily Hay Newman, da revista americana Wired, concorda.

“É comum tentar embalar e anunciar seus dados para tentar fazer com que outros criminosos os comprem, para que eles pareçam valiosos e atraentes”, explica ela.

Quando surgiu a notícia do vazamento de dados da 23andMe, a reação ficou relativamente ofuscada. Afinal, a atenção dos grupos judeus estava voltada para os ataques lançados pelo Hamas contra Israel naquele fim de semana e para o aumento dos incidentes de ódio antissemita nas semanas que se seguiram.

Jornalistas especializados em tecnologia que monitoram o fórum de hackers pediram comentários para a 23andMe e a empresa emitiu uma declaração.

Segundo ela, nenhum dado genético bruto vazou, mas categorias genéricas, como sexo, ano de nascimento, resultados de ancestralidade genética e localização geográfica, haviam caído nas mãos de um chamado “interveniente ameaçador”.

Enviei um pedido de entrevista para a 23andMe. Eles se recusaram a apresentar alguém, indicando um blog postado no site da empresa que vem sendo atualizado desde que surgiu a notícia do vazamento de dados.

“O interveniente ameaçador conseguiu ter acesso a menos de 0,1%, ou cerca de 14 mil contas de usuários do total de 14 milhões de clientes da 23andMe por preenchimento de credenciais”, segundo a declaração da empresa.

“Ou seja, os nomes de usuários e senhas que eram usados no site 23andMe.com eram os mesmos usados em outros websites que foram anteriormente comprometidos ou disponibilizados de outra forma.”

Em outras palavras, o problema foi que os clientes da 23andMe reutilizaram senhas que os hackers haviam conseguido extrair de outros sites.

O preenchimento de credenciais não é atividade hacker, estritamente falando.

“São os criminosos usando credenciais de login roubadas, como um nome de usuário e senha ou endereço de e-mail e senha, para entrar pela porta da frente da conta”, explica Newman. “Para isso, de fato, não é preciso agir como hacker.”

“Mas realmente sabemos que é muito difícil para os usuários administrar as senhas e que a culpa não deve ser colocada nos usuários”, prossegue ele.

O vazamento da 23andMe acabou envolvendo muito mais que as 14 mil contas que a empresa afirmou inicialmente que estavam comprometidas.

Depois de se infiltrar nessas contas, o hacker conseguiu acumular um conjunto de dados muito maior com uma função do site chamada Parentes de DNA. Esta função permite que os titulares das contas se conectem com parentes genéticos. É uma função popular e é devido a ela que muitas pessoas acabam fazendo esses testes.

Em resposta às questões dos jornalistas do site TechCrunch em dezembro de 2023, a 23andMe admitiu que, de fato, foram vazados os dados de 6,9 milhões de usuários — cerca de uma a cada duas pessoas que haviam enviado seu DNA para a empresa.

Verificação em duas etapas

Quando os bancos de dados guardam informações muito sensíveis, geralmente é preciso mais de uma senha para ter acesso.

Imagine quando você entra na sua conta bancária online, por exemplo. A maioria de nós já se acostumou com a verificação em duas etapas, que usa uma confirmação adicional como um código recebido em uma mensagem de texto ou um aplicativo autenticador.

Mas o acesso às contas da 23andMe não exigia a verificação em duas etapas até outubro de 2023 — mesmo com todos os dados de ancestralidade genética acoplados às informações geográficas e biográficas ali armazenadas.

E esta não foi a primeira vez em que as empresas de testes de DNA tiveram seus bancos de dados invadidos. Em 2018, vazaram os endereços de e-mail e senhas de mais de 92 milhões de usuários da companhia MyHeritage.

Mas o vazamento da 23andMe em outubro de 2023 foi o primeiro caso em que os hackers ofereceram os dados para venda.

No ano passado, a Comissão Federal de Comércio dos Estados Unidos tomou ações contra duas empresas de testes de DNA diretos aos consumidores, a CRI Genetics e a 1Health/Vitagene, por falhas na segurança dos dados de DNA.

Independentemente da motivação, qualquer vazamento envolvendo dados genéticos pode ter consequências muito amplas.

“Não há forma de saber quem tem acesso agora, quantas pessoas têm acesso ou o que eles podem decidir fazer com isso no futuro”, segundo Callow.

“Em muitos casos, os dados genéticos realmente sugerem prognósticos de saúde. É algo que pode afetar a empregabilidade de longo prazo de uma pessoa ou talvez a probabilidade de morrer cedo ou de sofrer uma doença debilitadora. Potencialmente, esses dados podem ser de interesse para empregadores ou seguradoras.”

As informações fornecidas pelas empresas fornecedoras de testes domésticos de DNA aos seus usuários incluem dados sobre sua herança genética e indicadores de saúde

Em uma era em que cada vez mais decisões financeiras são tomadas por algoritmos que buscam todas as fontes possíveis de informações sobre um indivíduo, existe a séria possibilidade de prejuízos financeiros e discriminação decorrente de um vazamento de dados genéticos.

As companhias de seguros-saúde dos Estados Unidos são impedidas de usar informações genéticas para calcular riscos, mas não existe lei federal que proíba seu uso para o seguro de vida.

Com isso, fica fácil imaginar o cenário: dados genéticos vazados podem aumentar os prêmios de seguro ou fazer com que a cobertura seja negada para certos clientes devido aos seus genes – ou pode ser rejeitada a concessão de hipoteca ou empréstimo bancário de longo prazo porque os dados vazados sugerem maior probabilidade de que o tomador do empréstimo desenvolva mal de Alzheimer e venha a falecer antes de poder pagar totalmente o valor emprestado.

A 23andMe afirmou que o vazamento de dados dos seus perfis de usuários não incluiu o vazamento de perfis de DNA brutos. Mas o hacker ainda teve acesso aos relatórios de ancestralidade que fornecem estimativas de etnicidade, localização geográfica, ligações a árvores genealógicas e outras informações pessoais.

“Sempre que as nossas informações pessoais são expostas, vazadas, hackeadas e entram no ecossistema criminal, elas alimentam o roubo de identidade”, afirma Newman.

“Mesmo informações amplas, dados geográficos, informações regionais ou questões étnicas podem alimentar a customização de golpes para tentar enganar você.”

A 23andMe agora enfrenta diversas ações judiciais coletivas nos Estados Unidos, em consequência do vazamento de dados.

Em janeiro, a empresa admitiu que os hackers começaram a se infiltrar nas contas dos seus clientes em abril de 2023 e conseguiram prosseguir por cinco meses sem que fossem detectados.

“Proteger a segurança e a privacidade dos dados dos nossos clientes permanece sendo total prioridade da 23andMe e continuaremos a investir na proteção dos nossos sistemas e dados”, afirma a empresa.

Agora, o sistema exige a verificação em duas etapas para que todos os clientes tenham acesso às suas contas, da mesma forma que seus concorrentes, a Ancestry e a MyHeritage. Nenhuma dessas empresas fazia essa exigência antes de outubro de 2023.

Mas os pesquisadores também identificaram recentemente outras formas que podem possibilitar a reunião de informações genéticas das pessoas, mantidas pelos serviços genéticos diretos ao consumidor final.

Um estudo de cientistas da Universidade da Califórnia em Davis, nos Estados Unidos, demonstrou que é possível reconstruir partes do genoma de uma pessoa se o “adversário” carregar diversos genomas falsificados para identificar coincidências com “parentes”.

Ativos empresariais

Mesmo se fosse possível manter dados sensíveis como o nosso código genético em segurança contra os hackers, não há garantia de que, quando concordamos em compartilhá-los com uma empresa, eles irão permanecer na posse dela.

“Essas companhias podem ser compradas – as informações poderiam ser adquiridas desta forma”, argumenta Callow.

Em dezembro de 2020, a empresa de investimentos de Nova York Blackstone comprou a Ancestry, um dos maiores concorrentes da 23andMe, por US$ 4,7 bilhões (cerca de R$ 23,2 bilhões).

“Além dos dados, essas empresas realmente têm muito pouco valor”, afirma Callow.

“Elas são totalmente impulsionadas pelos dados. Os detalhes genéticos agora podem ser vendidos, comercializados, adquiridos com outros ativos e propriedade intelectual das empresas. O DNA tem valor e esse valor pertence à empresa, não a você.”

A Blackstone recusou um pedido de comentários apresentado pela BBC a este respeito.

Embora a ideia de que meus genes agora existem como ativo de uma empresa é um tanto perturbadora. Mas eu sabia o risco que poderia estar correndo antes de enviar o meu DNA para a Ancestry e a 23andMe.

Nenhuma das pessoas com quem conversei para minha série para a BBC lamentou ter realizado um teste de DNA doméstico. Saber quem seus genes dizem que eles são e como eles estão conectados ao mundo mudou a vida deles e valeu a pena qualquer possível risco.

Mesmo se você não tiver feito algum desses testes, é provável que você tenha algum parente próximo que tenha feito — e uma versão muito próxima do seu código genético pode estar armazenada em um banco de dados corporativo.

Os seus genes talvez já estejam espalhados por aí, de alguma forma. Quem sabe onde eles irão parar?

Ouça a série The Gift, da BBC Rádio 4 (em inglês), que deu origem a esta reportagem, no site BBC Sounds. O episódio especial intitulado Hacked trata do vazamento de dados da 23andMe e discute se as informações genéticas podem ser mantidas em segurança online.

Leia a versão original desta reportagem (em inglês) no site BBC Future.