Британский надзорный орган оштрафовал компанию 23andMe, проводящую ДНК-тесты, на 2,31 млн фунтов стерлингов за утечку данных в 2023 году, которая затронула тысячи людей.
Управление комиссара по информации (ICO) заявило, что компания, которая с тех пор подала заявление о банкротстве, не приняла адекватных мер для защиты конфиденциальных данных пользователей до инцидента.
«Это было серьезно опасная утечка, которая раскрыла конфиденциальную личную информацию, семейные истории и даже состояние здоровья», — сказал комиссар по информации Джон Эдвардс.
23andMe готовится к продаже новому владельцу, Научно-исследовательскому институту TTAM, который заявил, что «взял на себя несколько обязательных обязательств по усилению защиты данных и конфиденциальности клиентов».
В октябре 2023 года пользователи 23andMe подверглись так называемой атаке «credential stuffing».
В ходе нее хакеры использовали пароли, раскрытые в ходе предыдущих взломов, для доступа к аккаунтам 23andMe, для которых люди использовали те же или похожие учетные данные.
Им удалось получить доступ к 14 000 индивидуальных аккаунтов и через них загрузить информацию, касающуюся примерно 6,9 млн человек, связанных с возможными родственниками на сайте.
По данным ICO, это включало доступ к персональным данным, принадлежащим 155 592 жителям Великобритании, таким как имена, год рождения, географическая информация, изображения профилей, раса, этническая принадлежность, медицинские отчеты и генеалогические древа.
Украденные данные не включали записи ДНК.
«Как сказал нам один из пострадавших: как только эта информация становится доступной, ее нельзя изменить или перевыпустить, как пароль или номер кредитной карты», — сказал Эдвардс.
Из-за своей более конфиденциальной природы генетические данные считаются особой категорией данных в соответствии с законодательством Великобритании о защите данных и требуют дополнительной защиты и гарантий.
Fircontrolling следует рассмотреть возможность принятия дополнительных мер безопасности для их защиты, согласно руководству ICO.
Расследование, начатое совместно с комиссаром по вопросам конфиденциальности Канады в июне прошлого года, показало, что 23andMe нарушила закон Великобритании о защите данных, не применив надлежащие меры аутентификации и проверки для клиентов во время процесса входа в систему.
Это включало отсутствие обязательной многофакторной аутентификации, позволяющей пользователям, входящим в систему, подтверждать себя с помощью дополнительных средств или устройств.
Компания также не предъявляла требований к надежному паролю или дополнительных требований к проверке для пользователей, пытающихся загрузить необработанные генетические данные, добавила она.
Эдвардс сказал, что такие сбои и задержки в их решении «оставили самые конфиденциальные данные людей уязвимыми для эксплуатации и нанесения вреда».
«Их система безопасности была неадекватной, предупреждающие знаки были налицо, и компания реагировала медленно», — сказал он.
Компания заявляет, что устранила проблемы, выявленные в ходе ICO и расследования Управления комиссара по защите конфиденциальности Канады (OPC) к концу 2024 года.
Оба надзорных органа недавно призвали 23andMe защитить конфиденциальные персональные данные своих клиентов в ходе процедуры банкротства.
Изначально компания должна была быть продана биотехнологической компании Regeneron Pharmaceuticals за 256 миллионов долларов.
Однако в пятницу 23andMe заявила, что согласилась продать свои активы TTAM Research Institute — некоммерческой биотехнологической организации, возглавляемой ее соучредителем и бывшим генеральным директором Энн Войчицки.
Компания заявила, что покупка компании по новой цене в 305 млн долларов будет сопровождаться обязательствами по соблюдению существующих политик и мер защиты прав потребителей, таких как разрешение клиентам удалять свои учетные записи, генетические данные и отказываться от исследований.
Суд по делам о банкротстве должен рассмотреть дело для его одобрения в среду.