Amerykańska firma ukarana w Wielkiej Brytanii. Nie zapobiegła atakowi hakerów

Biuro Komisarza ds. Informacji (ICO) stwierdziło, że firma — która w tym roku ogłosiła upadłość — nie wdrożyła odpowiednich środków zabezpieczających poufne dane użytkowników. „Było to głęboko szkodliwe naruszenie, które ujawniło poufne informacje osobiste, historie rodzinne, a nawet stan zdrowia” — powiedział komisarz ds. informacji John Edwards.

Czytaj więcej

Biznes

Kto przejmie dane genetyczne Amerykanów? Firma 23andMe znalazła nabywcę

Niegdyś niezwykle popularna firma 23andMe, zajmująca się testami DNA, po dwóch miesiącach od ogło...

23andMe ma zostać sprzedane nowemu właścicielowi, TTAM Research Institute, który zapewnił, że „podjął kilka wiążących zobowiązań w celu zwiększenia ochrony danych klientów i prywatności”.

Wyciekły dane nawet 6,9 mln klientów 23andMe

Użytkownicy 23andMe stali się celem ataku znanego jako „credential stuffing” w październiku 2023 roku. Hakerzy wykorzystali hasła ujawnione w poprzednich wyciekach danych, aby zalogować się na konta użytkowników 23andMe, którzy używali tych samych lub podobnych danych uwierzytelniających. Uzyskali dostęp do 14 000 indywidualnych kont, a za ich pośrednictwem pobrali informacje dotyczące około 6,9 mln osób powiązanych z właścicielami kont jako potencjalne relacje rodzinne.

Według ICO wyciek objął dane osobowe 155 592 mieszkańców Wielkiej Brytanii, takie jak imiona, rok urodzenia, lokalizacja, zdjęcia profilowe, rasa, pochodzenie etniczne, raporty zdrowotne oraz całe drzewa genealogiczne. Skradzione dane nie obejmowały jednak zapisów DNA.

Czytaj więcej

Biznes

Kto dostanie dane genetyczne Amerykanów? Firma 23andMe może zostać sprzedana

Klienci amerykańskiej firmy 23andMe obawiają się o bezpieczeństwo swoich danych. A chodzi o nie b...

Ze względu na ich szczególnie poufny charakter dane genetyczne są uznawane za dane specjalnej kategorii zgodnie z brytyjskim prawem o ochronie danych i wymagają dodatkowych zabezpieczeń. Firmy, które je przetwarzają, powinny wprowadzać odpowiednie środki bezpieczeństwa, zgodnie z wytycznymi ICO.

ICO: Amerykańska firma złamała brytyjskie prawo

Dochodzenie — prowadzone wspólnie z kanadyjskim komisarzem ds. prywatności od czerwca ubiegłego roku — wykazało, że 23andMe naruszyło brytyjskie przepisy o ochronie danych, nie zapewniając użytkownikom odpowiednich metod uwierzytelniania i weryfikacji podczas logowania. Wskazano m.in. brak obowiązkowego uwierzytelniania wieloskładnikowego (MFA), co umożliwiłoby dodatkową weryfikację tożsamości. Firma nie stosowała także wymogów dotyczących bezpiecznego hasła ani dodatkowych kroków weryfikacyjnych przy pobieraniu surowych danych genetycznych.

Czytaj więcej

Biznes

Promowali ją celebryci i była warta miliardy. Firma testująca DNA ogłosiła upadłość

Początkowo niezwykle popularna amerykańska firma 23andMe, zajmująca się testowaniem DNA, ogłosiła...

23andMe twierdzi, że do końca 2024 roku rozwiązało wszystkie problemy zidentyfikowane przez ICO i kanadyjskie Biuro Komisarza ds. Prywatności (OPC).

Nowy właściciel 23andMe obiecuje chronić dane klientów

Obie organizacje nadzorcze wezwały firmę do zapewnienia ochrony wrażliwych danych osobowych klientów także w trakcie postępowania upadłościowego. Początkowo 23andMe miało zostać sprzedane firmie biotechnologicznej Regeneron Pharmaceuticals w ramach transakcji o wartości 256 mln USD. Jednak 13 czerwca spółka poinformowała, że zgodziła się na sprzedaż swoich aktywów instytutowi TTAM Research Institute — organizacji non-profit zajmującej się biotechnologią, kierowanej przez współzałożycielkę i byłą dyrektor generalną Anne Wojcicki.