Pemberitahuan dan Pengungkapan Pelanggaran
23andMe mengirimkan pemberitahuan ke Kantor Kejaksaan Agung California, mengonfirmasi bahwa perusahaan tersebut diretas dari akhir April hingga September 2023. Perusahaan awalnya mengungkapkan pelanggaran tersebut dalam postingan blog pada tanggal 6 Oktober, yang menyebutkan bahwa “aktor ancaman” memperoleh akses ke “akun tertentu” menggunakan “kredensial login daur ulang” dari situs eksternal yang disusupi. Namun, tingkat pelanggaran sepenuhnya, termasuk pemaparan informasi genetik pribadi pengguna, baru diungkapkan dalam postingan blog yang diperbarui pada tanggal 5 Desember setelah peninjauan internal dengan pakar forensik pihak ketiga.
Implikasi dan Signifikansi Gugatan
Gugatan tersebut menandakan perubahan dalam undang-undang privasi konsumen, menurut Jay Edelson, salah satu pengacara yang mewakili penggugat. Ia yakin bahwa pelanggaran sensitivitas data kini telah meningkat ke titik di mana kekhawatiran pertama adalah apakah informasi tersebut dapat digunakan untuk pelecehan fisik atau kekerasan dalam skala massal. Kompleksitas pelanggaran ini terletak pada kenyataan bahwa pelanggan memilih untuk menggunakan fitur yang disebut DNA Relatives, yang mengakibatkan potensi paparan informasi profil dari 5,5 juta DNA Relatives, termasuk lokasi geografis, tahun lahir, silsilah keluarga, dan foto yang diunggah.
Tindakan Peretas
Gugatan tersebut mengklaim bahwa peretas, yang menggunakan nama “Golem” dan gambar Gollum sebagai avatar, membocorkan data pribadi lebih dari 1 juta pengguna 23andMe dengan keturunan Yahudi di forum online BreachForums. Data yang bocor antara lain nama lengkap pengguna, alamat rumah, dan tanggal lahir. Selain itu, peretas menawarkan akses ke informasi profil 100.000 pelanggan Tiongkok, dengan 350.000 catatan lainnya tersedia untuk dijual. Gugatan tersebut menekankan semakin besarnya risiko yang dihadapi pengguna dalam iklim geopolitik dan sosial saat ini, khususnya terkait potensi penargetan populasi Yahudi Amerika.
Implikasi yang Lebih Luas dan Tindakan Pencegahan di Masa Depan
Ramesh Srinivasan, seorang profesor di Universitas California, Los Angeles, menyatakan bahwa pelanggaran serupa kemungkinan akan terus berlanjut. Ia mengajukan pertanyaan tentang bagaimana perusahaan akan merespons: dengan mengambil tindakan pencegahan yang serius, seperti meningkatkan keamanan dan membatasi penyimpanan data, atau dengan hanya menerapkan solusi dangkal tanpa mengatasi permasalahan mendasarnya. Pelanggaran ini berfungsi sebagai pengingat akan semakin besarnya bahaya yang terkait dengan meningkatnya datafikasi kehidupan masyarakat.