Biuro Komisarza ds. Informacji (ICO) stwierdziło, że firma — która w tym roku ogłosiła upadłość — nie wdrożyła odpowiednich środków zabezpieczających poufne dane użytkowników. „Było to głęboko szkodliwe naruszenie, które ujawniło poufne informacje osobiste, historie rodzinne, a nawet stan zdrowia” — powiedział komisarz ds. informacji John Edwards.
Czytaj więcej
Niegdyś niezwykle popularna firma 23andMe, zajmująca się testami DNA, po dwóch miesiącach od ogłoszenia upadłości znalazła nabywcę. Dane genetyczne...
23andMe ma zostać sprzedane nowemu właścicielowi, TTAM Research Institute, który zapewnił, że „podjął kilka wiążących zobowiązań w celu zwiększenia ochrony danych klientów i prywatności”.
Wyciekły dane nawet 6,9 mln klientów 23andMe
Użytkownicy 23andMe stali się celem ataku znanego jako „credential stuffing” w październiku 2023 roku. Hakerzy wykorzystali hasła ujawnione w poprzednich wyciekach danych, aby zalogować się na konta użytkowników 23andMe, którzy używali tych samych lub podobnych danych uwierzytelniających. Uzyskali dostęp do 14 000 indywidualnych kont, a za ich pośrednictwem pobrali informacje dotyczące około 6,9 mln osób powiązanych z właścicielami kont jako potencjalne relacje rodzinne.
Według ICO wyciek objął dane osobowe 155 592 mieszkańców Wielkiej Brytanii, takie jak imiona, rok urodzenia, lokalizacja, zdjęcia profilowe, rasa, pochodzenie etniczne, raporty zdrowotne oraz całe drzewa genealogiczne. Skradzione dane nie obejmowały jednak zapisów DNA.
Czytaj więcej
Klienci amerykańskiej firmy 23andMe obawiają się o bezpieczeństwo swoich danych. A chodzi o nie byle jakie informacje – firma zajmuje się testowani...
Ze względu na ich szczególnie poufny charakter dane genetyczne są uznawane za dane specjalnej kategorii zgodnie z brytyjskim prawem o ochronie danych i wymagają dodatkowych zabezpieczeń. Firmy, które je przetwarzają, powinny wprowadzać odpowiednie środki bezpieczeństwa, zgodnie z wytycznymi ICO.
ICO: Amerykańska firma złamała brytyjskie prawo
Dochodzenie — prowadzone wspólnie z kanadyjskim komisarzem ds. prywatności od czerwca ubiegłego roku — wykazało, że 23andMe naruszyło brytyjskie przepisy o ochronie danych, nie zapewniając użytkownikom odpowiednich metod uwierzytelniania i weryfikacji podczas logowania. Wskazano m.in. brak obowiązkowego uwierzytelniania wieloskładnikowego (MFA), co umożliwiłoby dodatkową weryfikację tożsamości. Firma nie stosowała także wymogów dotyczących bezpiecznego hasła ani dodatkowych kroków weryfikacyjnych przy pobieraniu surowych danych genetycznych.
Czytaj więcej
Początkowo niezwykle popularna amerykańska firma 23andMe, zajmująca się testowaniem DNA, ogłosiła upadłość. Prezeska i współzałożycielka niegdyś wy...
23andMe twierdzi, że do końca 2024 roku rozwiązało wszystkie problemy zidentyfikowane przez ICO i kanadyjskie Biuro Komisarza ds. Prywatności (OPC).
Nowy właściciel 23andMe obiecuje chronić dane klientów
Obie organizacje nadzorcze wezwały firmę do zapewnienia ochrony wrażliwych danych osobowych klientów także w trakcie postępowania upadłościowego. Początkowo 23andMe miało zostać sprzedane firmie biotechnologicznej Regeneron Pharmaceuticals w ramach transakcji o wartości 256 mln USD. Jednak 13 czerwca spółka poinformowała, że zgodziła się na sprzedaż swoich aktywów instytutowi TTAM Research Institute — organizacji non-profit zajmującej się biotechnologią, kierowanej przez współzałożycielkę i byłą dyrektor generalną Anne Wojcicki.
Czytaj więcej
Zaledwie trzy lata temu firma 23andMe zajmująca się testowaniem DNA była złotym dzieckiem Wall Street i Doliny Krzemowej. Dziś firmie grozi usunięc...
Firma poinformowała, że zakup o wartości 305 mln USD wiąże się z wiążącymi zobowiązaniami do przestrzegania obowiązujących regulacji oraz ochrony konsumentów — w tym umożliwienia klientom usuwania kont, danych genetycznych oraz rezygnacji z udziału w badaniach.
