Genetik tekshirish kompaniyasi boʻlgan 23andMe 2023-yilda sodir boʻlgan katta maʼlumotlar buzilishi tufayli Buyuk Britaniyaning Axborot komissari idorasidan (ICO) 2,31 million funt sterling miqdorida jarimaga tortildi. Bu buzilish minglab odamlarga taʼsir koʻrsatdi.
ICO 23andMe tomonidan amalga oshirilgan yetarlicha xavfsizlik choralari yoʻqligini, keyinchalik esa kompaniya bankrotlikka uchraganini hodisaning sababi sifatida koʻrsatdi. Axborot komissari Jon Edvards shunday dedi: «Bu juda katta zarar keltirgan buzilish boʻlib, u shaxsiy maʼlumotlar, oila tarixi va hatto sogʻliq holati haqidagi sezgir maʼlumotlarni oshkor qildi.»
TTAM Tadqiqot Institutiga sotilishi kutilmoqda, sotib oluvchi tomon «mijozlar maʼlumotlari va maxfiyligiga himoyani kuchaytirish boʻyicha bir nechta majburiy majburiyatlarni» oldi.
2023-yil oktabr oyida sodir boʻlgan buzilish «credential stuffing» hujumi bilan bogʻliq boʻlib, unda xakerlar oldingi maʼlumotlar oqishi natijasida olingan parollardan foydalanib, 14 000 ta 23andMe hisoblariga kirishgan. Bu hisoblarga bogʻliq boʻlgan taxminan 6,9 million kishi haqidagi maʼlumotlar zarar koʻrgan.
ICO maʼlumotlariga koʻra, bu 155 592 nafar Buyuk Britaniya fuqarolarining ismlari, tugʻilgan yillari, joylashuv maʼlumotlari, profil rasmlari, millati, sogʻliq toʻgʻrisidagi hisobotlar va oila daraxtlari kabi sezgir maʼlumotlarni oʻz ichiga olgan. Muhimi, DNK yozuvlari ochilmagan.
Janob Edvards oshkor boʻlgan maʼlumotlarning qaytarib boʻlmaydiganligini taʼkidlab, shunday dedi: «Taʼsirlanganlardan biri bizga shunday dedi: bu maʼlumotlar tashqarida boʻlgandan keyin uni parol yoki kredit karta raqami kabi oʻzgartirib yoki qayta chiqarish mumkin emas.»
ICO genetik maʼlumotlar uchun qattiqroq tartibga solish talablarini, Buyuk Britaniya qonunchiligiga koʻra «maxsus toifa maʼlumotlari» sifatida tasniflanganligini va kuchaytiririlgan xavfsizlik choralarini talab qilishini taʼkidlaydi. Kanada maxfiylik komissari bilan birgalikda oʻtkazilgan oʻtgan yilning iyun oyida oʻtkazilgan tergov, 23andMe ning yetarlicha autentifikatsiya va tasdiqlash protokollari, jumladan, majburiy koʻp omilli autentifikatsiyaning yoʻqligi Buyuk Britaniyaning maʼlumotlarni himoya qilish qonunini buzganligini aniqladi.
Boshqa kamchiliklarga zaif parol talablari va xom genetik maʼlumotlarni yuklab olish uchun yetarlicha tasdiqlash kiradi. Janob Edvards 23andMe ning yetarlicha xavfsizlik tizimlari va ogohlantirish belgilariga kechiktirilgan munosabatini tanqid qilib, foydalanuvchi maʼlumotlarini himoyasiz qoldirdi.
23andMe 2024-yil oxiriga kelib bu muammolarni hal qilganligini daʼvo qilmoqda. Ham ICO, ham Kanada Maxfiylik Komissari Idorasi yaqinda 23andMe dan bankrotlik jarayonlari davrida maʼlumotlarni himoya qilishni ustuvor vazifa sifatida qoʻyishni soʻradi.
Qayta koʻrib chiqilgan taklif berish jarayonidan soʻng, 23andMe juma kuni aktivlarini nodavlat tashkiloti boʻlgan TTAM Tadqiqot Institutiga 305 million dollarga sotish toʻgʻrisida eʼlon qildi. Bu sotuv mavjud mijozlar himoyasini, shu jumladan maʼlumotlarni oʻchirish va tadqiqotlardan voz kechish variantlarini saqlab qolish boʻyicha majburiy majburiyatlarni oʻz ichiga oladi. Bankrotlik sudi chorshanba kuni sotuvni koʻrib chiqadi.