Firma zajmująca się badaniami genetycznymi 23andMe zbadała włamanie

Organy nadzorujące dane w Wielkiej Brytanii i Kanadzie zbadają firmę 23andMe zajmującą się testami genetycznymi w związku z naruszeniem danych w październiku 2023 r.

Przy użyciu starych haseł klientów hakerzy zdołali uzyskać dostęp do danych osobowych 6,9 miliona osób, które w niektórych przypadkach obejmowały drzewa genealogiczne, lata urodzenia i lokalizacje geograficzne.

Jedną z kwestii, którą zbada wspólna grupa zadaniowa, będzie to, czy wprowadzono odpowiednie zabezpieczenia w celu ochrony tych danych.

„Zamierzamy współpracować w odpowiedzi na uzasadnione żądania tych organów regulacyjnych” – oznajmiło 23andMe w oświadczeniu.

Dane skradzione w październiku nie obejmowały zapisów DNA.

23andMe to gigant w rozwijającej się branży śledzenia przodków, oferujący badania genetyczne DNA zawierające szczegółowe informacje na temat przodków i spersonalizowane informacje na temat zdrowia.

Sama firma nie została zhakowana, lecz przestępcy zalogowali się na około 14 000 indywidualnych kont, czyli 0,1% klientów, korzystając z adresu e-mail i hasła, które zostały wcześniej ujawnione podczas innych ataków hakerskich.

Przestępcy nie tylko pobierali dane z tych kont, ale także informacje o wszystkich innych użytkownikach, do których mieli linki, za pośrednictwem drzew genealogicznych znajdujących się w witrynie.

W tamtym czasie 23andMe poinformowało, że powiadomiło klientów, których to dotyczyło, i nakazało im zmianę haseł oraz aktualizację zabezpieczeń konta.

Według brytyjskiego Biura Komisarza ds. Informacji (ICO) dane przechowywane przez 23andMe „mogą ujawnić informacje o danej osobie i członkach jej gospodarstwa domowego, w tym informacje o ich zdrowiu, pochodzeniu etnicznym i pokrewieństwie biologicznym”.

Jej zdaniem oznacza to, że „niezbędne” jest, aby społeczeństwo zaufało tej usłudze.

Wspólne dochodzenie organów nadzoru danych zbada skalę naruszenia i potencjalne szkody, jakie może ono wyrządzić użytkownikom, a także to, czy istnieją odpowiednie zabezpieczenia.

Sprawdzi także, w jaki sposób 23andMe zgłosiło włamanie i czy firma postępowała zgodnie z właściwymi procesami w Wielkiej Brytanii i Kanadzie.

„W niepowołanych rękach informacja genetyczna danej osoby może zostać niewłaściwie wykorzystana do celów inwigilacji lub dyskryminacji” – powiedział kanadyjski komisarz ds. ochrony prywatności Philippe Dufresne.