فرض مكتب مفوض المعلومات في المملكة المتحدة (ICO) غرامة قدرها 2.31 مليون جنيه إسترليني على شركة الاختبارات الجينية 23andMe، وذلك بعد حدوث انتهاك كبير للبيانات في عام 2023. وقد أثر هذا الانتهاك على آلاف الأفراد.
أشار مكتب مفوض المعلومات إلى أن تدابير الأمن غير الكافية التي نفذتها 23andMe، والتي تقدمت لاحقًا بطلب إفلاس، هي سبب الحادث. وصرح مفوض المعلومات جون إدواردز: “كان هذا انتهاكًا ضارًا للغاية كشف عن معلومات شخصية حساسة، وتاريخ عائلي، وحتى حالات صحية”.
في انتظار البيع إلى معهد تي تي إيه إم للأبحاث، تعهدت جهة الاستحواذ “بالتزامات ملزمة عدة لتعزيز الحماية لبيانات العملاء وخصوصيتهم”.
تضمن انتهاك أكتوبر 2023 هجومًا من نوع “حشو بيانات الاعتماد”، حيث استخدم المتسللون كلمات المرور من تسريبات بيانات سابقة للوصول إلى 14000 حساب على 23andMe. وقد عرّض هذا المعلومات الخاصة بحوالي 6.9 مليون فرد مرتبطين بتلك الحسابات.
ووفقًا لمكتب مفوض المعلومات، فقد تضمنت هذه البيانات الحساسة من 155,592 مقيمًا في المملكة المتحدة، بما في ذلك الأسماء، وأعوام الميلاد، وبيانات الموقع، وصور الملف الشخصي، والعرق، والتقارير الصحية، وأشجار العائلة. ومن المهم الإشارة إلى أن سجلات الحمض النووي لم يتم الوصول إليها.
شدد السيد إدواردز على الطبيعة غير القابلة للعكس للمعلومات المعرضة، قائلاً: “كما أخبرنا أحد المتضررين: بمجرد أن تخرج هذه المعلومات، لا يمكن تغييرها أو إعادة إصدارها مثل كلمة مرور أو رقم بطاقة ائتمان”.
يبرز مكتب مفوض المعلومات المتطلبات التنظيمية الأكثر صرامة للبيانات الجينية، المصنفة على أنها “بيانات من فئة خاصة” بموجب القانون البريطاني، والتي تتطلب تدابير أمن محسنة. ووجد التحقيق، الذي أُجري بالاشتراك مع مفوض الخصوصية في كندا في يونيو الماضي، أن بروتوكولات المصادقة والتحقق غير الكافية من 23andMe، بما في ذلك عدم وجود مصادقة متعددة العوامل إلزامية، تخرق قانون حماية البيانات في المملكة المتحدة.
وتضمنت أوجه القصور الأخرى متطلبات كلمات مرور ضعيفة وعدم وجود تحقق كافٍ لتنزيلات البيانات الجينية الخام. وانتقد السيد إدواردز أنظمة الأمان غير الكافية لدى 23andMe وتأخرها في الاستجابة لإشارات التحذير، مما ترك بيانات المستخدم عرضة للخطر.
تدعي 23andMe أنها عالجت هذه المشكلات بحلول نهاية عام 2024. وقد حث كل من مكتب مفوض المعلومات ومكتب مفوض الخصوصية في كندا مؤخرًا 23andMe على إعطاء الأولوية لحماية البيانات وسط إجراءات الإفلاس.
بعد عملية تقديم عروض منقحة، أعلنت 23andMe يوم الجمعة بيع أصولها إلى معهد تي تي إيه إم للأبحاث، وهي منظمة غير ربحية، مقابل 305 ملايين دولار. ويتضمن هذا البيع التزامات ملزمة للحفاظ على حماية العملاء الحالية، بما في ذلك خيارات حذف البيانات والانسحاب من البحث. ستراجع محكمة الإفلاس عملية البيع يوم الأربعاء.