Масштабная утечка данных 23andMe: почти 7 миллионов пользователей под угрозой 🧬🔓

Три года назад житель Флориды, известный как JL, отправил образец своей слюны в сервис генетического тестирования 23andMe, чтобы узнать больше о своих корнях. Как и миллионы других участников, он хотел глубже понять своё происхождение и был удивлён разнообразием результатов — среди прочего, тест показал у него еврейское ашкеназское происхождение.

Однако радость от открытий сменилась тревогой, когда JL узнал о масштабной утечке данных, затронувшей почти 7 миллионов человек, что составляет около половины клиентов компании. Позже стало известно о хакере под псевдонимом «Golem», который предлагал продать данные примерно миллиона клиентов с похожим наследием на тёмном интернет-форуме.

JL, обеспокоенный безопасностью себя и своей семьи, стал одним из истцов в коллективном иске против 23andMe в Калифорнии, утверждая, что компания не уведомила пользователей с еврейским и китайским происхождением о потенциальной угрозе.

Как произошла утечка

В 2023 году хакеры получили доступ к 14 000 аккаунтам пользователей на протяжении пяти месяцев. Некоторые из них содержали детальные отчёты о здоровье и генетические данные, включая «непрерывные сырые генотипы», отчёты о наследственных предрасположенностях и носительских статусах.

Кроме того, доступ был получен к данным до 5,5 миллионов пользователей, включивших опцию поиска генетических родственников. Эта функция позволяет видеть имена потенциальных родственников, предполагаемые связи, процент совпадения ДНК и даже загруженные фотографии.

23andMe объяснила инцидент использованием повторно скомпрометированных паролей пользователей, но эксперты по кибербезопасности отмечают, что компания должна была предусмотреть такую возможность и защитить чувствительные данные гораздо надёжнее.

Последствия и правовые разбирательства

Юристы истцов утверждают, что специальные списки пользователей по этническому признаку могли стать «мишенями» для злоумышленников. Некоторые опасаются, что информация может быть использована для шантажа или дискриминации.

Сейчас более двух десятков пользователей подали индивидуальные и коллективные иски против 23andMe, обвиняя компанию в небрежности и нарушении приватности. В исках говорится, что компания не защитила данные должным образом, предоставила пользователям недостоверную информацию о безопасности и не уведомила о целенаправленном риске для некоторых групп пользователей.

После инцидента 23andMe ввела двухфакторную аутентификацию по умолчанию и потребовала от всех клиентов сменить пароли. Тем не менее эксперты считают, что последствия утечки могут выходить далеко за пределы самой компании, влияя на доверие людей к обмену личной и медицинской информацией в целом.

Профессор компьютерных наук Университета Техаса Мурад Кантарчиоглу отмечает, что злоумышленник с доступом к генетическим данным может использовать их для идентификации человека, шантажа или мошенничества, например, связанного с родственными связями или историей здоровья.

23andMe находится под пристальным вниманием регуляторов и законодателей. В январе представители штатов Нью-Джерси и Аризоны запросили расследование инцидента и меры по защите данных пользователей.

🔐 Утечка данных 23andMe стала тревожным сигналом для всех компаний генетического тестирования: защита чувствительной информации и прозрачность работы с пользователями — ключевой приоритет в цифровую эпоху.