A 23andMe, a empresa norte-americana de testes de ADN que dizia às pessoas de onde vinham os seus antepassados, aceitou pagar 18 milhões de dólares para encerrar as queixas de uma coligação de 43 procuradores-gerais dos Estados Unidos, os magistrados que chefiam a acusação pública em cada estado. O acordo, anunciado a 14 de julho de 2026 pela procuradora-geral de Nova Iorque, Letitia James, fecha a investigação à fuga de dados de 2023 que expôs informação genética de 6,9 milhões de clientes.
Ao contrário de uma palavra-passe, o ADN não se muda depois de exposto. É esse o pano de fundo de um caso que levou uma empresa outrora avaliada em cerca de 6 mil milhões de dólares até à falência e à venda dos dados mais íntimos de quem confiou nela.
A falha: faltavam as defesas básicas
Em outubro de 2023, a 23andMe anunciou que tinha descoberto uma intrusão que afetava 6,9 milhões de pessoas, 305 245 delas só no estado de Nova Iorque. Os atacantes entraram através de credential stuffing, o uso automático de milhões de pares de utilizador e palavra-passe roubados noutras fugas, na esperança de que as vítimas repitam a mesma palavra-passe em vários sites. A partir daí, recolheram informação de ascendência genética e chegaram a pô-la à venda na dark web, a zona da internet acessível apenas por software próprio e usada para negócios ilícitos.
A investigação das procuradorias concluiu que a empresa não tinha medidas críticas de segurança:
- Não comparava as palavras-passe com listas de credenciais já sabidas como comprometidas, nem exigia autenticação multifator, um segundo passo de confirmação além da palavra-passe.
- Não limitava o ritmo de tentativas de acesso, o que teria travado o ataque automático.
- Não tinha registo nem monitorização capazes de detetar a fuga, e não investigou um pico enorme de tentativas de login.
«As empresas têm o dever de proteger a informação pessoal dos clientes contra os piratas informáticos, mas a 23andMe pôs milhões de clientes em risco com as suas frágeis medidas de segurança», afirmou a procuradora-geral Letitia James. Segundo a mesma investigação, a empresa começou por negar a intrusão e, depois de a confirmar, atribuiu a culpa à forma como os clientes tinham configurado as contas e reutilizado palavras-passe.
Da falência à venda dos dados
Em março de 2025, a 23andMe entrou em processo de falência. Em junho, uma coligação de procuradores avançou com uma ação para proteger a informação genética dos clientes durante esse processo, receando que os dados mudassem de mãos sem salvaguardas. Foi o que quase aconteceu: o acervo acabou vendido à TTAM Research, uma organização sem fins lucrativos criada pela cofundadora e antiga presidente executiva da 23andMe, Anne Wojcicki, e entretanto rebatizada como 23andMe Research Institute.
O acordo impõe a esse novo dono um conjunto de obrigações de segurança: análise de risco, um conselho consultivo dedicado à proteção de dados, e a garantia de que os clientes continuam a poder apagar a sua informação. A Nova Iorque cabem mais de 705 000 dólares do total. O montante recuperado ficou limitado a 18 milhões porque o dinheiro disponível na massa falida é finito e há muitas outras reclamações à espera, uma soma modesta perante os quase sete milhões de pessoas afetadas.
Não é a primeira conta a pagar
Esta não é a única fatura da fuga de 2023. Segundo a imprensa da especialidade, a 23andMe já tinha aceitado, em setembro de 2024, um acordo coletivo de 30 milhões de dólares, e em junho de 2025 foi multada pelo regulador de dados do Reino Unido em 2,31 milhões de libras, cerca de 3,1 milhões de dólares. O padrão é o de uma empresa a saldar, em parcelas, o preço de não ter guardado aquilo que lhe foi confiado.
Os novos donos prometem guardar melhor a informação que resta. Para os 6,9 milhões de pessoas cujos dados genéticos já circularam, fica a pergunta que nenhum acordo responde: como se protege aquilo que, uma vez exposto, não se pode voltar a esconder?
Fontes: Procuradoria-Geral de Nova Iorque, BleepingComputer, The Record.
#StaySafe
🙏🖖