La notifica e la divulgazione della violazione
23andMe ha presentato una notifica all’ufficio del procuratore generale della California, confermando che la società è stata hackerata da fine aprile a settembre 2023. La società ha inizialmente rivelato la violazione in un post sul blog il 6 ottobre, in cui menzionava un “autore di minacce” ottenuto l’accesso a “determinati account” utilizzando “credenziali di accesso riciclate” da siti esterni compromessi. Tuttavia, l’intera portata della violazione, inclusa l’esposizione delle informazioni genetiche personali degli utenti, è stata rivelata solo in un post aggiornato sul blog il 5 dicembre dopo un esame interno con esperti forensi di terze parti.
Implicazioni e significato della causa
La causa rappresenta un cambiamento nella legge sulla privacy dei consumatori, secondo Jay Edelson, uno degli avvocati che rappresentano i querelanti. Ritiene che la sensibilità dei dati violati sia ora aumentata al punto che la prima preoccupazione è se tali informazioni possano essere utilizzate per molestie fisiche o danni su scala di massa. La complessità della violazione risiede nel fatto che i clienti hanno aderito a una funzionalità chiamata DNA Relatives, che ha comportato la potenziale esposizione delle informazioni del profilo di 5,5 milioni di DNA Relatives, tra cui posizione geografica, anno di nascita, albero genealogico e foto caricate.
Le azioni dell’hacker
L’accusa sostiene che l’hacker, utilizzando il nome “Golem” e l’immagine di Gollum come avatar, ha fatto trapelare i dati personali di oltre 1 milione di utenti di 23andMe con origini ebraiche sul forum online BreachForums. I dati trapelati includevano nomi completi degli utenti, indirizzi di casa e date di nascita. Inoltre, l’hacker ha offerto l’accesso alle informazioni del profilo di 100.000 clienti cinesi, con altri 350.000 record disponibili per la vendita. La causa ha sottolineato i rischi amplificati affrontati dagli utenti nell’attuale clima geopolitico e sociale, in particolare per quanto riguarda il potenziale attacco alla popolazione ebraica americana.
Implicazioni più ampie e precauzioni future
Ramesh Srinivasan, professore all’Università della California, a Los Angeles, suggerisce che è probabile che violazioni simili continuino. Pone la questione di come risponderanno le aziende: adottando precauzioni serie, come aumentare la sicurezza e limitare la conservazione dei dati, o applicando semplici rimedi superficiali senza affrontare le questioni di fondo. La violazione serve a ricordare i crescenti pericoli associati alla crescente dataficazione della vita delle persone.