De melding en openbaarmaking van inbreuk
23andMe heeft een melding ingediend bij de procureur-generaal van Californië, waarin werd bevestigd dat het bedrijf van eind april tot september 2023 was gehackt. Het bedrijf maakte de inbreuk aanvankelijk bekend in een blogpost op 6 oktober, waarin werd vermeld dat er sprake was van een “bedreigingsacteur” toegang gekregen tot “bepaalde accounts” met behulp van “gerecyclede inloggegevens” van gecompromitteerde externe sites. De volledige omvang van de inbreuk, inclusief de openbaarmaking van de persoonlijke genetische informatie van gebruikers, werd echter pas op 5 december bekendgemaakt in een bijgewerkte blogpost na een interne beoordeling met externe forensische experts.
Implicaties en betekenis van de rechtszaak
De rechtszaak betekent een verschuiving in de privacywetgeving voor consumenten, aldus Jay Edelson, een van de advocaten die de eisers vertegenwoordigt. Hij is van mening dat de inbreuk op de gegevensgevoeligheid nu is geëscaleerd tot het punt waarop de eerste zorg is of dergelijke informatie kan worden gebruikt voor fysieke intimidatie of schade op grote schaal. De complexiteit van de inbreuk ligt in het feit dat klanten zich hebben aangemeld voor een functie genaamd DNA Relatives, wat resulteerde in de potentiële openbaarmaking van profielinformatie van 5,5 miljoen DNA Relatives, waaronder geografische locatie, geboortejaar, stamboom en geüploade foto’s.
p>
De acties van de hacker
De rechtszaak beweert dat de hacker, die de naam “Golem” en een afbeelding van Gollum als avatar gebruikte, de persoonlijke gegevens van meer dan 1 miljoen 23andMe-gebruikers met Joodse afkomst op het online forum BreachForums lekte. De gelekte gegevens omvatten de volledige namen, thuisadressen en geboortedata van gebruikers. Bovendien bood de hacker toegang tot de profielinformatie van 100.000 Chinese klanten, terwijl er nog 350.000 records te koop waren. De rechtszaak benadrukte de grotere risico’s waarmee gebruikers worden geconfronteerd in het huidige geopolitieke en sociale klimaat, met name met betrekking tot mogelijke targeting van de Amerikaans-Joodse bevolking.
Bredere implicaties en toekomstige voorzorgsmaatregelen
Ramesh Srinivasan, professor aan de Universiteit van Californië, Los Angeles, suggereert dat soortgelijke inbreuken zich waarschijnlijk zullen blijven voordoen. Hij stelt de vraag hoe bedrijven zullen reageren: door serieuze voorzorgsmaatregelen te nemen, zoals het verhogen van de veiligheid en het beperken van dataretentie, of door louter oppervlakkige oplossingen toe te passen zonder de onderliggende problemen aan te pakken. De inbreuk herinnert ons aan de groeiende gevaren die gepaard gaan met de toenemende dataficatie van de levens van mensen.