A notificação e divulgação de violação
23andMe enviou uma notificação ao Gabinete do Procurador-Geral da Califórnia, confirmando que a empresa foi hackeada entre o final de abril e setembro de 2023. A empresa inicialmente divulgou a violação em uma postagem de blog em 6 de outubro, onde mencionou que um “ator de ameaça” obteve acesso a “certas contas” usando “credenciais de login recicladas” de sites externos comprometidos. No entanto, a extensão total da violação, incluindo a exposição das informações genéticas pessoais dos usuários, só foi divulgada em uma postagem atualizada no blog em 5 de dezembro, após uma análise interna com especialistas forenses terceirizados.
Implicações e importância do processo
O processo significa uma mudança na lei de privacidade do consumidor, segundo Jay Edelson, um dos advogados que representa os demandantes. Ele acredita que a violação da confidencialidade dos dados atingiu agora um ponto em que a primeira preocupação é se tais informações podem ser utilizadas para assédio físico ou danos em grande escala. A complexidade da violação reside no fato de que os clientes optaram por um recurso chamado DNA Relatives, que resultou na exposição potencial de informações de perfil de 5,5 milhões de DNA Relatives, incluindo localização geográfica, ano de nascimento, árvore genealógica e fotos enviadas.
As ações do hacker
O processo alega que o hacker, usando o nome “Golem” e uma imagem de Gollum como avatar, vazou os dados pessoais de mais de 1 milhão de usuários do 23andMe com ascendência judaica no fórum online BreachForums. Os dados vazados incluíam nomes completos, endereços residenciais e datas de nascimento dos usuários. Além disso, o hacker ofereceu acesso às informações de perfil de 100 mil clientes chineses, com mais 350 mil registros disponíveis para venda. O processo enfatizou os riscos ampliados enfrentados pelos usuários no atual clima geopolítico e social, particularmente no que diz respeito ao potencial alvo da população judaica americana.
Implicações mais amplas e precauções futuras
Ramesh Srinivasan, professor da Universidade da Califórnia, em Los Angeles, sugere que violações semelhantes provavelmente continuarão. Ele coloca a questão de como as empresas irão responder: tomando precauções sérias, como aumentar a segurança e limitar a retenção de dados, ou aplicando soluções meramente superficiais sem abordar as questões subjacentes. A violação serve como um lembrete dos perigos crescentes associados à crescente dataficação da vida das pessoas.