Главният прокурор на щата Калифорния Роб Бонта заведе дело срещу 23andMe, която вече оперира под името Chrome Holding Co., заради предполагаем провал в защитата на чувствителни генетични и лични данни на милиони потребители.

Искът е свързан с масивния пробив в сигурността от 2023 г., при който бяха компрометирани данните на приблизително 6,9 милиона клиенти, включително над 855 000 жители на Калифорния. Сред изтеклата информация се съдържат генетични профили, данни за здравословни предразположения, етнически произход, родствени връзки и ДНК съвпадения.

Как започна пробивът

Инцидентът стана публично известен през октомври 2023 г., когато киберпрестъпници започнаха да продават в интернет откраднати записи от платформата на 23andMe и публикуваха примерни набори от данни като доказателство за автентичността им.

По-късно компанията потвърди, че информацията е реална и заяви, че атаката е осъществена чрез credential stuffing – техника, при която нападателите използват вече изтекли комбинации от потребителски имена и пароли от други пробиви.

Разследването обаче показва, че нападателите първоначално са получили достъп до акаунти с активирана функцията „DNA Relatives“, след което са използвали уязвимост в платформата, за да достигнат до много по-голям набор от профили, включително такива без активирана функция.

Обвиненията срещу компанията

Според иска на прокуратурата, 23andMe не е приложила адекватни мерки за защита срещу подобни атаки, въпреки че credential stuffing е добре позната техника в киберсигурността.

В документа се посочва още, че компанията:

• не е успяла навреме да открие пробива;
• е пропуснала множество сигнали за злонамерена активност;
• не е идентифицирала програмна грешка във функцията „DNA Relatives“, довела до масовото изтичане;
• е подвела потребителите относно нивото на сигурност на платформата.

Особено сериозни са обвиненията, че след инцидента 23andMe е омаловажила последствията, твърдейки публично, че голяма част от информацията вече е била публично достъпна, както и че вината е на потребителите заради повторно използване на пароли.

Потенциални сериозни санкции

Главният прокурор твърди, че действията на компанията нарушават няколко закона на щата Калифорния, включително:

• California Genetic Information Privacy Act;
• California Consumer Privacy Act (CCPA);
• California Reasonable Data Security Law;
• False Advertising Law;
• Unfair Competition Law.

Прокуратурата настоява съдът да наложи забрана за бъдещи нарушения и да одобри глоби между 1 000 и 7 500 долара за всяко отделно нарушение, което потенциално може да доведе до огромни финансови санкции.

Финансовият и репутационният удар за 23andMe

След пробива компанията бе изправена пред множество колективни искове и международни разследвания от регулатори по защита на данните. Последвалите глоби и съдебни спорове допринесоха за тежката финансова криза, довела до процедура по фалит.

Паралелно с това продължава и отделно дело, свързано с възможната продажба на генетични данни и биологични проби на жители на Калифорния като част от активите на компанията.

Генетичните данни – новата критична цел за киберпрестъпниците

Случаят с 23andMe отново поставя във фокуса един от най-чувствителните аспекти на дигиталната сигурност – защитата на биометрични и генетични данни. За разлика от паролите или банковите карти, ДНК информацията не може да бъде „сменена“ след компрометиране.

Експерти предупреждават, че подобни пробиви могат да имат дългосрочни последствия – от дискриминация и злоупотреба със здравни данни до сложни схеми за социално инженерство и идентификационни измами.