La società di test del DNA 23andME è stata multata di £ 2,31 milioni da un cane da guardia del Regno Unito per una violazione dei dati nel 2023 che ha colpito migliaia di persone.
L’ufficio del Commissario per le informazioni (ICO) ha dichiarato che la società – che da allora ha presentato istanza di fallimento – non ha messo in atto misure adeguate per garantire dati sugli utenti sensibili prima dell’incidente.
“Questa è stata una violazione profondamente dannosa che ha esposto informazioni personali sensibili, storie familiari e persino condizioni di salute”, ha affermato il commissario di informazione John Edwards.
23andMe sarà venduto a un nuovo proprietario, il TTAM Research Institute, che ha affermato di aver “preso diversi impegni vincolanti per migliorare le protezioni per i dati dei clienti e la privacy”.
Gli utenti di 23andme sono stati presi di mira da quello che è noto come un attacco di “credenziale” nell’ottobre 2023.
Ciò ha visto gli hacker utilizzare le password esposte in precedenti violazioni per accedere agli account 23andme per i quali le persone avevano usato le stesse credenziali simili.
Sono stati in grado di accedere a 14.000 account individuali e, tramite quelli, scaricare informazioni relative a circa 6,9 milioni di persone collegate a possibili relazioni sul sito.
Secondo l’ICO, ciò includeva l’accesso a dati personali appartenenti a 155.592 residenti nel Regno Unito, come nomi, anno di nascita, informazioni geografiche, immagini del profilo, razza, etnia, rapporti sulla salute e alberi familiare.
I dati rubati non includevano record di DNA.
“Come ci ha detto uno dei colpiti: una volta che queste informazioni sono là fuori, non può essere modificata o ristampata come una password o un numero di carta di credito”, ha affermato Edwards.
A causa della sua natura più sensibile, i dati genetici sono considerati dati di categoria speciali ai sensi della legge sulla protezione dei dati del Regno Unito e richiedono ulteriori protezioni e garanzie.
Le aziende che lo controllano dovrebbero prendere in considerazione l’idea di avere ulteriori misure di sicurezza per aiutarlo, secondo la guida dell’ICO.
La sua indagine – lanciata insieme al commissario per la privacy canadese Lo scorso giugno – Ho scoperto che 23andME ha violato la legge sulla protezione dei dati del Regno Unito non avendo adeguate misure di autenticazione e verifica per i clienti durante il suo processo di accesso.
Ciò includeva non avere un’autenticazione multi-fattore obbligatoria per consentire agli utenti di effettuare l’accesso per verificarsi attraverso mezzi o dispositivi aggiuntivi.
Inoltre, la società non aveva requisiti di password sicuri o più requisiti di verifica per gli utenti che cercano di scaricare dati genetici RAW, ha aggiunto.
Edwards ha affermato che tali fallimenti e ritardi nella risoluzione di loro “hanno lasciato i dati più sensibili delle persone vulnerabili allo sfruttamento e al danno”.
“I loro sistemi di sicurezza erano inadeguati, i segnali di avvertimento erano lì e la società era lenta a rispondere”, ha detto.
La società afferma di aver risolto le questioni identificate durante l’ICO e la sonda del Commissario per la privacy del Canada (OPC) entro la fine del 2024.
Entrambi i cani da guardia recentemente chiamato su 23andme per proteggere i dati personali sensibili dei propri clienti nel suo procedimento fallimentare.
Inizialmente la società doveva essere venduta alla società biotecnologica Regeneron Pharmaceuticals in un accordo da $ 256 milioni.
Ma 23andme detto venerdì Aveva accettato la vendita delle sue attività al TTAM Research Institute, un’organizzazione biotecnologica senza scopo di lucro guidata dalla sua co-fondatrice ed ex amministratore delegato Anne Wojcicki.
Ha affermato che l’acquisto dell’azienda per un nuovo prezzo di $ 305 milioni richiederebbe impegni vincolanti per sostenere le politiche esistenti e le protezioni dei consumatori, come consentire ai clienti di eliminare i loro conti, i dati genetici e rinunciare alla ricerca.
È programmato un tribunale fallimentare per ascoltare il caso per la sua approvazione mercoledì.
