Dopo che un hacker ha pubblicizzato milioni di "dati" rubati da 23andMe su un forum online questo mese, l'azienda ha dichiarato che stava lavorando con le forze dell'ordine federali e gli esperti forensi per indagare.

Nelle nuove e-mail, una copia delle quali è stata vista da Reuters, 23andMe ha comunicato ai clienti che c'è stata una violazione di uno o più account collegati ai loro attraverso la funzione "DNA Relatives". Questa funzione consente agli utenti di tutto il mondo di connettersi e condividere i loro dati personali, tra cui le etichette di parentela, i rapporti di ascendenza e i segmenti di DNA corrispondenti, la posizione, l'anno di nascita e i nomi di famiglia, tra le altre cose.

"C'è stato un accesso non autorizzato a uno o più account 23andMe che erano collegati a lei attraverso DNA Relatives", ha comunicato l'azienda ai clienti nell'e-mail di martedì. "Di conseguenza, le informazioni del profilo di DNA Relatives da lei fornite in questa funzione sono state esposte all'attore della minaccia".

23andMe fornisce un test del DNA che aiuta gli utenti a conoscere meglio la propria ascendenza. Dopo la notizia dell'hack, molti clienti hanno espresso il timore che la loro etnia e altre informazioni sensibili possano essere usate contro di loro se trapelano. Un legislatore statunitense la scorsa settimana ha chiesto maggiori dettagli sulle fughe di notizie.

Diversi utenti sui social media martedì hanno detto di aver ricevuto l'e-mail, ma non era chiaro quanti clienti fossero stati informati. La portavoce di 23andMe, Katie Watson, ha rifiutato di commentare, citando la sua indagine in corso, e ha fatto riferimento al blog in cui l'azienda ha detto il 20 ottobre che stava temporaneamente disabilitando le funzioni del "DNA Relatives" per proteggere la privacy degli utenti.

In precedenza, l'azienda aveva detto che gli hacker potrebbero aver utilizzato le credenziali trapelate da altri siti web per violare gli account di 23andMe - una tecnica nota come 'credential stuffing'. Ha consigliato agli utenti di modificare i propri dati di accesso e di attivare l'autenticazione a due fattori per evitare la compromissione.