Компания по генетическому тестированию 23andMe оштрафована Управлением комиссара по информации Великобритании (ICO) на сумму 2,31 миллиона фунтов стерлингов в связи со значительным нарушением данных в 2023 году. Нарушение затронуло тысячи людей.
ICO сослалось на неадекватные меры безопасности, реализованные 23andMe, которая впоследствии подала заявление о банкротстве, как на причину инцидента. Комиссар по информации Джон Эдвардс заявил: «Это было чрезвычайно вредоносное нарушение, которое раскрыло конфиденциальную личную информацию, семейную историю и даже состояние здоровья».
В ожидании продажи Исследовательскому институту TTAM, приобретающая организация обязалась «выполнить ряд обязательных условий по усилению защиты данных и конфиденциальности клиентов».
Нарушение в октябре 2023 года было связано с атакой «credential stuffing», когда хакеры использовали пароли из предыдущих утечек данных для доступа к 14 000 учетных записей 23andMe. Это скомпрометировало информацию примерно о 6,9 миллионах человек, связанных с этими учетными записями.
По данным ICO, это включало конфиденциальные данные 155 592 жителей Великобритании, включая имена, годы рождения, данные о местоположении, фотографии профиля, этническую принадлежность, отчеты о состоянии здоровья и генеалогические древа. Важно отметить, что записи ДНК не были доступны.
Г-н Эдвардс подчеркнул необратимый характер раскрытой информации, заявив: «Как сказал нам один из пострадавших: как только эта информация попадает в открытый доступ, ее нельзя изменить или перевыпустить, как пароль или номер кредитной карты».
ICO подчеркивает более строгие нормативные требования к генетическим данным, классифицируемым как «данные специальной категории» в соответствии с законодательством Великобритании, требующие усиленных мер безопасности. Расследование, проведенное совместно с комиссаром по защите частной жизни Канады в июне прошлого года, выявило, что недостаточные протоколы аутентификации и верификации 23andMe, включая отсутствие обязательной многофакторной аутентификации, являются нарушением британского закона о защите данных.
К дальнейшим недостаткам относятся слабые требования к паролям и недостаточная проверка загрузок необработанных генетических данных. Г-н Эдвардс раскритиковал неадекватные системы безопасности 23andMe и замедленную реакцию на предупреждающие сигналы, оставив данные пользователей уязвимыми.
23andMe утверждает, что к концу 2024 года эти проблемы были устранены. И ICO, и Управление комиссара по защите частной жизни Канады недавно призвали 23andMe уделять приоритетное внимание защите данных в условиях процедуры банкротства.
После пересмотренного процесса подачи заявок 23andMe в пятницу объявила о продаже своих активов Исследовательскому институту TTAM, некоммерческой организации, за 305 миллионов долларов. Эта продажа включает в себя обязательные обязательства по поддержанию существующих мер защиты клиентов, включая удаление данных и возможности отказа от участия в исследованиях. Суд по делам о банкротстве рассмотрит продажу в среду.