טכנולוגיה

קליפורניה תובעת את 23andMe על הפרת נתונים בשנת 2023 שהשפיעה על 7 מיליון משתמשים

נתן בן דוד (Natan Ben-David) 8 שעות ago 1 min read

Chrome Holding Co., החברה שנודעה בעבר בשם 23andMe, היא עומד בפני תביעה שהוגשה על ידי התובע הכללי של קליפורניה, רוב בונטה, על פרצת אבטחה מסיבית בשנת 2023 שפגעה במיליוני נתונים רגישים של אנשים. בונטה מאשימה את החברה בהטעיית לקוחות ובאי הגנה על "המידע האישי הרגיש והנתונים הגנטיים שלהם הקשורים לבריאותם, נטיות גנטיות וגורמי סיכון, קרובי משפחה ביולוגיים, מוצא ומוצא אתני". התקרית השפיעה על 7 מיליון משתמשים ברחבי ארה"ב, נכתב בתביעה, 855,541 תושבי קליפורניה.

23andMe, שהציעה ללקוחות ערכות בדיקת DNA כדי שיוכלו לגלות את מוצאם הקדמוני ואת הסיכונים הבריאותיים הגנטיים שלהם, הודתה כבר ב-2023 ששחקנים גרועים הצליחו לגשת לחשבונות המשתמשים באמצעות מילוי אישורים. בונטה טען שחברות, במיוחד כזו שאוספת נתונים גנטיים, צריכות לדעת להישמר מפני שיטה כה נפוצה של מתקפת סייבר.

במקרה של 23andMe, ההאקר ככל הנראה השתמש באישורים שנגנבו בהפרות נתונים קודמות, כולל מתקפה על MyHeritage, אתר גנאלוגי אחר ש-23andMe עבד איתו. Bonta אומר שלמרות ש-23andMe הייתה מודעת להפרה ב-MyHeritage, היא מעולם לא בדקה או מנעה ממשתמשים לעשות שימוש חוזר באישורים שלהם. זה ראוי לציון במיוחד, מכיוון שלטענת 23andMe עודדה את המשתמשים שלה להירשם גם לחשבון MyHeritage.

זה לא היה רק מלית אישורים שאפשרה לשחקנים הרעים לגנוב מיליוני מידע פרטי. לאחר שהשתמשו בשיטת ההתקפה כדי לפרוץ ל-14,000 חשבונות, אז הם ניצלו פגיעות בתכונת ה-DNA Relatives של האתר כדי לגשת לנתונים מלקוחות נוספים. בונטה אמרה כי אמצעי האבטחה של החברה היו כה רופפים, שההאקרים הצליחו לפעול ללא זיהוי בתוך המערכת שלה במשך חמישה חודשים. הוא הוסיף כי החברה החלה לחקור רק לאחר שהשחקנים הרעים כבר החלו למכור נתוני משתמשים גנובים ברשת האפלה ודרשו כופר.

Bonta האשימה את 23andMe בהשמטת מידע קריטי כשהודיעה ללקוחות על ההפרה. הוא אמר שהחברה ממעיטה ברגישות הנתונים הגנובים וטענה שתכונת קרובי ה-DNA הייתה "פומבית בעיקרה", כל זאת בזמן שהיא ניהלה משא ומתן חשאי עם השחקנים הרעים שהדגישו את הכללת מידע על תושבי אסיה, תושבי אמריקה והאוקיינוס השקט, כמו גם משתמשים יהודים, במערך הנתונים שהם מוכרים.

"המכירה של נתונים אלה ברשת האפלה התרחשה בתוך תקופה של גואה אנטי-אסייתית של תושבי אמריקה ואיי האוקיינוס השקט ושל שנאה ואלימות אנטישמית – והפנתה תשומת לב מפורשות לאופי האישי והמזהה של המידע הזה", כתב בונטה. "זה מטריד ומסוכן להפליא".

23andMe הגישה בקשה לפשיטת רגל במרץ 2025. As AP מציינת, היא גם עמדה בפני תביעה ייצוגית שהאשימה את החברה באי הגנה על לקוחותיה, ושופט המפקח על פשיטת הרגל שלה אישר פשרה של 50 מיליון דולר מוקדם יותר השנה.

Source link