La società di test genetici 23andMe ha ricevuto una multa di £2,31 milioni dall’Information Commissioner’s Office (ICO) del Regno Unito a seguito di una significativa violazione dei dati nel 2023. La violazione ha interessato migliaia di persone.
L’ICO ha citato le misure di sicurezza inadeguate implementate da 23andMe, che successivamente ha dichiarato bancarotta, come causa dell’incidente. Il Commissario per l’informazione John Edwards ha dichiarato: “Si è trattato di una violazione profondamente dannosa che ha esposto informazioni personali sensibili, storie familiari e persino condizioni di salute”.
In attesa della vendita al TTAM Research Institute, l’entità acquirente ha promesso “diversi impegni vincolanti per migliorare la protezione dei dati e della privacy dei clienti”.
La violazione di ottobre 2023 ha coinvolto un attacco di “credential stuffing”, in cui gli hacker hanno sfruttato le password provenienti da precedenti perdite di dati per accedere a 14.000 account 23andMe. Ciò ha compromesso le informazioni su circa 6,9 milioni di persone collegate a tali account.
Secondo l’ICO, ciò includeva dati sensibili di 155.592 residenti nel Regno Unito, tra cui nomi, anni di nascita, dati sulla posizione, immagini del profilo, etnia, rapporti sanitari e alberi genealogici. È importante sottolineare che i record del DNA non sono stati accessibili.
Il signor Edwards ha sottolineato la natura irreversibile delle informazioni esposte, affermando: “Come ci ha detto uno di coloro che sono stati colpiti: una volta che queste informazioni sono là fuori, non possono essere modificate o riemesse come una password o un numero di carta di credito”.
L’ICO evidenzia i requisiti normativi più severi per i dati genetici, classificati come “dati di categoria speciale” ai sensi della legge britannica, che richiedono misure di sicurezza migliorate. L’indagine, condotta congiuntamente con il commissario per la privacy del Canada lo scorso giugno, ha rilevato che i protocolli di autenticazione e verifica insufficienti di 23andMe, inclusa la mancanza di autenticazione a più fattori obbligatoria, erano in violazione della legge britannica sulla protezione dei dati.
Ulteriori carenze includevano requisiti di password deboli e verifica insufficiente per i download di dati genetici grezzi. Il signor Edwards ha criticato i sistemi di sicurezza inadeguati di 23andMe e la risposta ritardata ai segnali di avvertimento, lasciando i dati degli utenti vulnerabili.
23andMe afferma di aver risolto questi problemi entro la fine del 2024. Sia l’ICO che l’Ufficio del Commissario per la privacy del Canada hanno recentemente esortato 23andMe a dare priorità alla protezione dei dati nel contesto delle sue procedure fallimentari.
A seguito di una procedura di offerta rivista, 23andMe ha annunciato venerdì la vendita delle sue attività al TTAM Research Institute, un’organizzazione senza scopo di lucro, per 305 milioni di dollari. Questa vendita include impegni vincolanti per mantenere le protezioni esistenti per i clienti, tra cui l’opzione di cancellazione dei dati e di esclusione dalla ricerca. Un tribunale fallimentare esaminerà la vendita mercoledì.