Foto: SecurityWeek
Kalifornijski glavni državni odvjetnik Rob Bonta podnio je tužbu protiv tvrtke koja je ranije poslovala pod imenom 23andMe, tvrdeći da nije dovoljno zaštitila osjetljive korisničke podatke u sigurnosnom incidentu iz 2023. godine. Prema navodima u tužbi, riječ je o povredi koja je zahvatila gotovo 7 milijuna ljudi diljem SAD-a, a postupak je pokrenut nakon što je tvrtka prošle godine proglasila stečaj i rebrendirala se pod imenom Chrome Holding Co.
Tvrtka 23andMe poznata je po izravnoj prodaji DNA testova za potrošače, kojima korisnici dobivaju informacije o podrijetlu i genetskim predispozicijama za pojedine zdravstvene uvjete. U tužbi se traže različite građanske kazne te zabrane koje bi spriječile daljnja kršenja kalifornijskih zakona o zaštiti privatnosti. Tvrtka je priznala da je u 2023. došlo do većeg sigurnosnog propusta, pri čemu je pristup ostvareno u oko 14.000 računa, a potom su napadači došli do podataka gotovo 7 milijuna korisnika.
Napad je, navodi se, koristio tehniku credential stuffing, koja se oslanja na slabe ili često korištene lozinke te na ponovno korištenje istih pristupnih podataka na više servisa. Ured Bontaeva navodi da je riječ o dobro poznatoj metodi protiv koje bi tvrtke trebale imati zaštitu. Napadači su, kako se navodi, koristili ukradene korisničke vjerodajnice, uključujući i one iz velikog curenja podataka iz listopada 2017. koje je pogodilo MyHeritage, jednog od bivših partnera 23andMe. Nakon tog incidenta 23andMe, prema tužbi, nije primijenio uobičajene postupke poput obveznog resetiranja lozinki ili uvođenja višefaktorske autentifikacije.
U tužbi se dalje navodi da su sigurnosne mjere 23andMe bile toliko slabe da je napadač, kako tvrdi tužiteljstvo, više od pet mjeseci djelovao neotkriven unutar sustava tvrtke. Istraživanje je, prema navodima u optužbi, počelo tek nakon što je napadač ponudio ukradene podatke na prodaju na dark webu i zatim kontaktirao 23andMe tražeći otkupninu. U listopadu 2023. ukradeni podaci pojavili su se na prodaju na dark webu, a oglas je posebno isticao da podaci oko 1,1 milijun potrošača pripadaju korisnicima azijsko-pacifičkog i aškenaskog židovskog podrijetla.
Bonta je u priopćenju rekao da se prodaja tih podataka odvila u razdoblju rastućih anti-azijsko-američkih i pacifičkootočkih te antisemitističkih napada i nasilja. Među ukradenim podacima bili su sirovi genetski podaci, zdravstveni izvještaji, DNA dijeljena s rođacima te lokacije i godine rođenja članova obitelji. Tužba navodi i da je 23andMe nakon obavještavanja javnosti o incidentu i dalje dovodio potrošače u zabludu o težini povrede i vlastitoj ulozi u njoj.
Tvrtka je, prema svom ranijem stajalištu, za upad doznala tek u listopadu 2023., kada su podaci objavljeni na prodaju na dark webu. No tužba tvrdi da je propustila ozbiljno istražiti znakove upozorenja koji su se pojavili mjesecima ranije, uključujući sumnjiv porast pokušaja prijave u srpnju i objavu na Redditu iz kolovoza u kojoj se raspravljalo o mogućem upadu i prodaji korisničkih podataka. California navodi da genetski podaci zahtijevaju jednu od najviših razina zaštite te da državno pravo nameće pojačanu pravnu obvezu njihove zaštite.
Bonta se također umiješao kako bi osigurao da se genetski podaci kupaca ne zlouporabe tijekom 23andMe-ova stečajnog postupka prema poglavlju 11 i prodaje imovine, uz argument da kalifornijski Zakon o privatnosti genetskih informacija zahtijeva izričit pristanak korisnika prije prodaje njihovih genetskih podataka trećim stranama. Prodaja je, međutim, ipak dopuštena. U 2024. 23andMe je pristao na nagodbu od 30 milijuna dolara u kolektivnoj tužbi koja ga je teretila da nije zaštitio korisnike čiji su osobni podaci bili izloženi u upadu. Iznos je kasnije povećan na 50 milijuna dolara radi rješavanja većine zahtjeva američkih korisnika, a konačno ga je u siječnju odobrio savezni sudac koji nadzire stečajni postupak 23andMe.
Vezane vijesti
