Η ειδοποίηση και η αποκάλυψη παραβίασης
23andMe υπέβαλε μια ειδοποίηση στο Γραφείο του Γενικού Εισαγγελέα της Καλιφόρνια, επιβεβαιώνοντας ότι η εταιρεία είχε παραβιαστεί από τα τέλη Απριλίου έως τον Σεπτέμβριο του 2023. Η εταιρεία αποκάλυψε αρχικά την παραβίαση σε μια ανάρτηση ιστολογίου στις 6 Οκτωβρίου, όπου ανέφερε ότι ένας “πρωταθλητής” απέκτησε πρόσβαση σε “ορισμένους λογαριασμούς” χρησιμοποιώντας “ανακυκλωμένα διαπιστευτήρια σύνδεσης” από παραβιασμένους εξωτερικούς ιστότοπους. Ωστόσο, η πλήρης έκταση της παραβίασης, συμπεριλαμβανομένης της έκθεσης των προσωπικών γενετικών πληροφοριών των χρηστών, αποκαλύφθηκε μόνο σε μια ενημερωμένη ανάρτηση ιστολογίου στις 5 Δεκεμβρίου μετά από εσωτερική εξέταση με τρίτους ιατροδικαστές.
Επιπτώσεις και σημασία της αγωγής
Η αγωγή σηματοδοτεί μια αλλαγή στη νομοθεσία περί απορρήτου των καταναλωτών, σύμφωνα με τον Jay Edelson, έναν από τους δικηγόρους που εκπροσωπούν τους ενάγοντες. Πιστεύει ότι η ευαισθησία των παραβιασμένων δεδομένων έχει πλέον κλιμακωθεί σε σημείο όπου η πρώτη ανησυχία είναι εάν τέτοιες πληροφορίες μπορούν να χρησιμοποιηθούν για σωματική παρενόχληση ή βλάβη σε μαζική κλίμακα. Η πολυπλοκότητα της παραβίασης έγκειται στο γεγονός ότι οι πελάτες επέλεξαν μια δυνατότητα που ονομάζεται DNA Relatives, η οποία είχε ως αποτέλεσμα την πιθανή έκθεση των πληροφοριών προφίλ από 5,5 εκατομμύρια συγγενείς DNA, συμπεριλαμβανομένης της γεωγραφικής τοποθεσίας, του έτους γέννησης, του οικογενειακού δέντρου και των φωτογραφιών που ανέβηκαν.
Οι ενέργειες του χάκερ
Η μήνυση ισχυρίζεται ότι ο χάκερ, χρησιμοποιώντας το όνομα “Golem” και μια εικόνα του Gollum ως avatar, διέρρευσε τα προσωπικά δεδομένα περισσότερων από 1 εκατομμυρίου χρηστών του 23andMe με εβραϊκή καταγωγή στο διαδικτυακό φόρουμ BreachForums. Τα δεδομένα που διέρρευσαν περιελάμβαναν τα πλήρη ονόματα των χρηστών, τις διευθύνσεις κατοικίας και τις ημερομηνίες γέννησης. Επιπλέον, ο χάκερ πρόσφερε πρόσβαση στις πληροφορίες προφίλ 100.000 Κινέζων πελατών, με 350.000 επιπλέον αρχεία διαθέσιμα προς πώληση. Η μήνυση τόνιζε τους αυξημένους κινδύνους που αντιμετωπίζουν οι χρήστες στο τρέχον γεωπολιτικό και κοινωνικό κλίμα, ιδιαίτερα όσον αφορά την πιθανή στόχευση του αμερικανικού εβραϊκού πληθυσμού.
Ευρύτερες επιπτώσεις και μελλοντικές προφυλάξεις
Ο Ramesh Srinivasan, καθηγητής στο Πανεπιστήμιο της Καλιφόρνια, στο Λος Άντζελες, προτείνει ότι παρόμοιες παραβιάσεις είναι πιθανό να συνεχιστούν. Θέτει το ερώτημα για το πώς θα ανταποκριθούν οι εταιρείες: λαμβάνοντας σοβαρές προφυλάξεις, όπως η αύξηση της ασφάλειας και ο περιορισμός της διατήρησης δεδομένων, ή με την εφαρμογή απλών επιφανειακών διορθωτικών μέτρων χωρίς την αντιμετώπιση των υποκείμενων ζητημάτων. Η παραβίαση χρησιμεύει ως υπενθύμιση των αυξανόμενων κινδύνων που συνδέονται με την αυξανόμενη καταστροφή δεδομένων της ζωής των ανθρώπων.