Генеральный прокурор штата Калифорния Роб Бонта предъявил иск биотехнологической компании 23andMe, которая не смогла обеспечить конфиденциальность генетической и личной информации клиентов. Ненадлежащая защита привела к утечке информации в 2023 году, в результате которой раскрытыми оказались данные почти 7 млн клиентов, включая более чем 855 тыс. жителей Калифорнии.
Об утечке стало известно осенью 2023 года, когда злоумышленники предложили к продаже массив данных, украденных у 23andMe. Хакеры опубликовали образцы, а затем и большую часть набора данных, чтобы доказать подлинность добытой информации.
Компания признала утечку только в декабре того же года, уточнив, что данные получили в результате использования украденных учётных данных. Вскоре стало известно, что злоумышленники похитили данные пользователей функции DNA Relatives на платформе. Позже хакеры получили доступ к гораздо большему набору учётных записей, которые использовали эту функцию.
В сети оказались данные почти 7 млн клиентов, включая генетическую информацию, сведения о предрасположенности к заболеваниям, происхождении и этнической принадлежности, родственниках и совпадениях ДНК.
К концу 2023 года 23andMe столкнулась с многочисленными исками, а в начале 2024 года американские органы по защите данных начали расследования, которые привели к многомиллионным штрафам. В результате биотехнологическая компания подала заявление о банкротстве. Издание Массачусетского технологического института MIT Technology Review поместило кейс 23andMe в список восьми главных провалов 2024 года.
В своём иске Бонта утверждает, что 23andMe не приняла разумных мер защиты от атак с подстановкой учётных данных, упустила множество возможностей для обнаружения вторжения и не смогла выявить уязвимость в коде DNA Relatives, которая привела к масштабной утечке данных.
Также генпрокурор обратил внимание на вводящие в заблуждения публичные заявления компании, сделанные до и после инцидента. В частности, до инцидента 23andMe указывала, что её система безопасности соответствует высоким стандартам. После взлома компания попыталась преуменьшить серьёзность инцидента, сообщив, что раскрытые данные в основном были общедоступными. Также 23andMe обвинила клиентов в повторном использовании паролей, заявив, что её системы не были взломаны.
Действия нарушили ряд законов штата, включая Закон о защите генетической информации, Закон о разумной защите данных, Закон о защите конфиденциальности потребителей, Закон о ложной рекламе и Закон о недобросовестной конкуренции, сообщил Бонта. Обвинитель потребовал вынести судебный запрет, который предотвратит дальнейшее нарушение вышеуказанных положений.
Также Бонта настаивает на наложении штрафов в размере от $1 тыс. до $7,5 тыс. за каждое нарушение. При этом прокурор подчёркивает, что спор о банкротстве — отдельное разбирательство.
ссылка на оригинал статьи https://habr.com/ru/articles/1041466/