Уведомление и раскрытие информации о нарушениях
23andMe направила уведомление в Генеральную прокуратуру Калифорнии, подтвердив, что компания подвергалась взлому с конца апреля по сентябрь 2023 года. Первоначально компания сообщила о взломе в своем блоге 6 октября, где упомянула, что «злоумышленник» получил доступ к «определенным учетным записям», используя «переработанные учетные данные для входа» со скомпрометированных внешних сайтов. Однако полный масштаб нарушения, включая раскрытие личной генетической информации пользователей, был раскрыт только в обновленном сообщении в блоге 5 декабря после внутренней проверки со сторонними экспертами-криминалистами.
Последствия и значение судебного процесса
По мнению Джея Эдельсона, одного из юристов, представляющих истцов, этот иск означает изменение закона о конфиденциальности потребителей. Он считает, что нарушение конфиденциальности данных сейчас обострилось до такой степени, что первое беспокойство вызывает вопрос о том, может ли такая информация быть использована для физического преследования или причинения вреда в массовом масштабе. Сложность взлома заключается в том, что клиенты включили функцию под названием «Родственники ДНК», что привело к потенциальному раскрытию информации профиля 5,5 миллионов родственников ДНК, включая географическое местоположение, год рождения, генеалогическое древо и загруженные фотографии.
Действия хакера
В иске утверждается, что хакер, используя имя «Голем» и изображение Голлума в качестве аватара, слил персональные данные более 1 миллиона пользователей 23andMe еврейского происхождения на онлайн-форум BreachForums. Утечка данных включала полные имена пользователей, домашние адреса и даты рождения. Кроме того, хакер предоставил доступ к данным профиля 100 000 китайских клиентов, и еще 350 000 записей были доступны для продажи. В иске подчеркиваются возросшие риски, с которыми сталкиваются пользователи в нынешнем геополитическом и социальном климате, особенно в отношении потенциального нападения на американское еврейское население.
Более широкие последствия и меры предосторожности
Рамеш Шринивасан, профессор Калифорнийского университета в Лос-Анджелесе, предполагает, что подобные нарушения, вероятно, будут продолжаться. Он ставит вопрос о том, как компании отреагируют: приняв серьезные меры предосторожности, такие как повышение безопасности и ограничение хранения данных, или применив лишь поверхностные меры без решения основных проблем. Нарушение служит напоминанием о растущих опасностях, связанных с растущей передачей данных о жизни людей.