La notificación y divulgación de incumplimiento
23andMe envió una notificación a la Oficina del Fiscal General de California, confirmando que la empresa fue pirateada desde finales de abril hasta septiembre de 2023. La empresa inicialmente reveló la infracción en una publicación de blog el 6 de octubre, donde mencionaba que un «actor amenazante» obtuvo acceso a «ciertas cuentas» utilizando «credenciales de inicio de sesión recicladas» de sitios externos comprometidos. Sin embargo, el alcance total de la infracción, incluida la exposición de la información genética personal de los usuarios, solo se reveló en una publicación de blog actualizada el 5 de diciembre después de una revisión interna con expertos forenses externos.
Implicaciones e importancia de la demanda
La demanda significa un cambio en la ley de privacidad del consumidor, según Jay Edelson, uno de los abogados que representa a los demandantes. Él cree que la sensibilidad de los datos violados ha aumentado hasta el punto en que la primera preocupación es si dicha información puede usarse para acoso físico o daño a escala masiva. La complejidad de la infracción radica en el hecho de que los clientes optaron por una función llamada DNA Relatives, que resultó en la posible exposición de información de perfil de 5,5 millones de DNA Relatives, incluida la ubicación geográfica, el año de nacimiento, el árbol genealógico y las fotos cargadas. p>
Las acciones del hacker
La demanda afirma que el hacker, utilizando el nombre «Golem» y una imagen de Gollum como avatar, filtró los datos personales de más de 1 millón de usuarios de 23andMe con ascendencia judía en el foro en línea BreachForums. Los datos filtrados incluían los nombres completos de los usuarios, direcciones particulares y fechas de nacimiento. Además, el hacker ofreció acceso a la información de perfil de 100.000 clientes chinos, con 350.000 registros más disponibles para la venta. La demanda enfatizó los riesgos amplificados que enfrentan los usuarios en el actual clima geopolítico y social, particularmente en relación con posibles ataques a la población judía estadounidense.
Implicaciones más amplias y precauciones futuras
Ramesh Srinivasan, profesor de la Universidad de California en Los Ángeles, sugiere que es probable que continúen violaciones similares. Plantea la pregunta de cómo responderán las empresas: tomando precauciones serias, como aumentar la seguridad y limitar la retención de datos, o aplicando meras soluciones superficiales sin abordar los problemas subyacentes. La violación sirve como recordatorio de los crecientes peligros asociados con la creciente datificación de la vida de las personas.