23andMe оштрафована на £2,3 млн за утечку данных в 2023 году 🧬💻

Генетическая компания 23andMe получила штраф более £2,3 млн за ненадлежащую защиту личных данных более 150 000 жителей Великобритании после крупной кибератаки в 2023 году. Взлом затронул семейные деревья, медицинские отчёты, имена и почтовые индексы, а подтверждение факта утечки произошло только спустя несколько месяцев, когда сотрудник компании заметил, что украденные данные выставлены на продажу на Reddit, сообщает Управление по информационной комиссии Великобритании (ICO).

Комиссар по информации Джон Эдвардс назвал инцидент «глубоко разрушительной утечкой». Данные жителей Великобритании составили лишь часть пострадавших — в целом атака затронула информацию 7 миллионов человек.

23andMe предлагает пользователям анализ ДНК за £89 с помощью слюняного набора, позволяя выяснить происхождение предков по этнической принадлежности и месту проживания. После взлома многие клиенты потребовали удалить свои данные, а сама компания подала заявление о защите от банкротства в США в марте.

Эдвардс подчеркнул, что утечка «разгласила чувствительную личную информацию, семейную историю и даже данные о состоянии здоровья тысяч людей в Великобритании». «Как отметил один из пострадавших: когда эти данные попадают в сеть, их нельзя изменить или восстановить, как пароль или номер карты», — добавил он.

ICO выявило, что компания не приняла базовые меры защиты данных и её системы безопасности были недостаточны. Среди нарушений — отсутствие усиленной аутентификации пользователей. Хакеры воспользовались привычкой людей повторно использовать пароли, украденные в других утечках, применяя метод «credential stuffing» — автоматическую проверку паролей на разных аккаунтах.

Представитель 23andMe заявил, что компания уже внедрила меры для повышения безопасности аккаунтов и информации. В рамках сделки по покупке компании некоммерческим институтом TTAM Research Institute под руководством бывшего CEO Энн Войцицки были даны обязательства по усилению защиты данных клиентов, включая возможность удаления аккаунта и отказа от исследований в любое время, запрет на продажу или передачу генетических данных при смене контроля и два года бесплатного мониторинга защиты личности.

Штраф 23andMe является частью серии многомиллионных наказаний ICO за последние годы за утечки и атаки с программами-вымогателями. Например, в 2022 году строительную компанию Interserve оштрафовали на £4,4 млн за утечку данных сотрудников, а в марте этого года NHS IT-поставщик Advanced Computer Software Group получил штраф почти £3,1 млн за нарушения безопасности, затронувшие почти 80 000 человек.