A empresa de testes genéticos 23andMe foi multada em mais de 2,3 milhões de libras por não proteger as informações pessoais de mais de 150.000 residentes do Reino Unido após um ataque cibernético em larga escala em 2023.
Árvores familiares, relatórios de saúde, nomes e códigos postais estavam entre os dados sensíveis invadidos da empresa da Califórnia. Ele apenas confirmou a violação meses após o início da infiltração e, uma vez que um funcionário viu os dados roubados anunciados para venda na plataforma de mídia social Reddit, de acordo com o escritório do Comissário de Informações do Reino Unido – que cobrou a multa.
O comissário da informação, John Edwards, chamou o incidente de meses durante o verão de 2023 de “violação profundamente prejudicial”. O compromisso dos dados do Reino Unido foi apenas uma fração das perdas mais amplas, com os dados de 7 milhões de pessoas afetadas.
A 23andMe cobra dos usuários £ 89 para exibir seu DNA usando um kit baseado em saliva, permitindo que eles descubram de onde seus ancestrais distantes vieram em termos de etnia e localização. Mas muitos clientes pediram que seus dados de DNA fossem excluídos dos arquivos da empresa após o hack e ele pediu proteção contra falência nos EUA em março.
A multa veio como uma tentativa de US $ 305 milhões para comprar a empresa liderada por seu ex -executivo -chefe, Anne Wojcicki, parecia preparado para retomar o controle da empresa em um leilão de falência.
Edwards disse que a violação de dados “expostos informações pessoais sensíveis, histórias familiares e até condições de saúde de milhares de pessoas no Reino Unido”.
“Como um dos impactados nos disse: Uma vez que essas informações estiverem por aí, elas não podem ser alteradas ou reeditadas como uma senha ou número de cartão de crédito”, disse ele.
A 23andMe não tomou as medidas básicas para proteger as informações e seus sistemas de segurança foram inadequados, segundo o regulador de proteção de dados do Reino Unido. As violações incluíram não instalar a autenticação mais difícil do usuário.
O hacker explorou uma fraqueza comum causada por usuários que reutilizam senhas que já haviam sido roubadas em outras violações de dados não relacionadas. Os hackers então usaram ferramentas automatizadas para experimentar essas senhas em uma tática chamada “recheio de credenciais”.
“Os sinais de alerta estavam lá e a empresa demorou a responder”, disse Edwards, que realizou a investigação em conjunto com o comissário de privacidade do Canadá. “Isso deixou os dados mais sensíveis das pessoas vulneráveis à exploração e danos”.
Após a promoção do boletim informativo
Um porta -voz da empresa disse que a 23AndMe havia implementado várias etapas para aumentar a segurança para proteger contas e informações individuais. They said that as part of the deal to acquire 23andMe, Wojcicki’s non-profit, the TTAM Research Institute, has made “binding commitments to enhance protections for customer data and privacy, including allowing individuals to delete their account and opt out of research at any time” and “agreeing not to sell or transfer genetic data under a subsequent bankruptcy or change of control”, and offering customers two years of free identity theft monitoring.
A multa está entre várias punições multimilionárias, cumpridas pela OIC nos últimos anos, por não proteger dados de hacks e ataques de ransomware. Em 2022, multou a empresa de construção entre preservar 4,4 milhões de libras quando os dados da equipe foram comprometidos, incluindo detalhes de contato, contas bancárias, orientação sexual e saúde.
Em março deste ano, multou um fornecedor de TI do NHS, Advanced Computer Software Group, quase 3,1 milhões de libras para falhas de segurança que colocam as informações pessoais de quase 80.000 pessoas em risco.