Повідомлення про порушення та розкриття інформації
23andMe надіслала повідомлення до Генеральної прокуратури Каліфорнії, підтверджуючи, що компанію було зламано з кінця квітня по вересень 2023 року. Спочатку компанія оприлюднила злом у дописі в блозі 6 жовтня, де згадувалося, що «актор загрози» отримав доступ до «певних облікових записів», використовуючи «перероблені облікові дані для входу» зі зламаних зовнішніх сайтів. Однак повний масштаб порушення, включаючи розкриття особистої генетичної інформації користувачів, було розкрито лише в оновленій публікації в блозі 5 грудня після внутрішньої перевірки сторонніми судово-медичними експертами.
Наслідки та значення судового позову
За словами Джея Едельсона, одного з юристів, що представляють інтереси позивачів, цей позов означає зміни в законодавстві про конфіденційність споживачів. Він вважає, що конфіденційність порушених даних зараз загострилася до точки, коли перше занепокоєння полягає в тому, чи може така інформація бути використана для фізичних переслідувань або шкоди в масовому масштабі. Складність порушення полягає в тому, що клієнти вибрали функцію під назвою DNA Relatives, що призвело до потенційного розкриття інформації профілю 5,5 мільйонів DNA Relatives, включаючи географічне розташування, рік народження, генеалогічне дерево та завантажені фотографії.
Дії хакера
У позові стверджується, що хакер, використовуючи ім’я «Голем» і зображення Голлума як аватара, злив особисті дані понад 1 мільйона користувачів 23andMe з єврейським походженням на онлайн-форумі BreachForums. Витік даних включав повні імена користувачів, домашні адреси та дати народження. Крім того, хакер запропонував доступ до інформації профілю 100 000 китайських клієнтів, а ще 350 000 записів доступні для продажу. У позові підкреслювалося посилення ризиків, з якими стикаються користувачі в поточному геополітичному та соціальному кліматі, зокрема щодо потенційного нападу на американське єврейське населення.
Ширші наслідки та майбутні запобіжні заходи
Рамеш Шрінівасан, професор Каліфорнійського університету в Лос-Анджелесі, припускає, що подібні порушення, ймовірно, триватимуть. Він ставить питання про те, як компанії відреагують: вживши серйозних запобіжних заходів, таких як посилення безпеки та обмеження збереження даних, або застосовуючи лише поверхневі засоби правового захисту без вирішення основних проблем. Порушення слугує нагадуванням про зростаючі небезпеки, пов’язані зі збільшенням кількості даних у житті людей.