Dane genetyczne mieszkańców CT mogły zostać naruszone w 23andMe
Mieszkańcy Connecticut prawdopodobnie zostali zaangażowani w naruszenie bazy danych zawierającej miliony profili genetycznych ludzi, w szczególności osób pochodzenia aszkenazyjskiego i chińskiego. Firma potwierdziła, że profile te powstały na podstawie testów genetycznych i testów przodków 23andMe.
„To było bardzo poważne naruszenie i możemy się spodziewać, że dotknie to mieszkańców Connecticut” – powiedziała Elizabeth Benton, rzeczniczka biura prokuratora generalnego Williama Tonga. „Ponieważ firma 23andMe nie złożyła jeszcze w naszym biurze raportu z powiadomieniem o naruszeniu, nie mamy obecnie dokładnych danych liczbowych dotyczących mieszkańców Connecticut, których to dotyczy”.
Jeśli naruszenie rzeczywiście obejmowało dane mieszkańców Connecticut, Tong powiedział 23andMe w poniedziałkowym piśmie, że firma naruszy prawo stanowe.
„Rozumiemy, że naruszenie 23andMe doprowadziło do ukierunkowanej eksfiltracji i sprzedaży na czarnym rynku co najmniej miliona profili danych dotyczących osób o żydowskim pochodzeniu aszkenazyjskim” – napisał Tong do 23andMe. „Raporty wskazują, że kolejny wyciek ujawnił dane setek tysięcy osób o chińskim pochodzeniu, które w wyniku tego hackowania można było również sprzedać w ciemnej sieci”.
W zgłoszonym trzecim wycieku dane genetyczne użytkowników uzyskano za pomocą dostępnego w witrynie narzędzia DNA Relatives. Tong powiedział, że naruszenia mogły dotknąć nawet 4 miliony osób. Jak podała Reuters, na początku października 23andMe poinformowało niektórych użytkowników, że ich profile zostały „wystawione” na działanie „osoby stwarzającej zagrożenie”. Dane te podobno obejmowały imiona i nazwiska, płeć, datę urodzenia i położenie geograficzne. oraz wyniki badań przodków genetycznych.
W komunikacie prasowym z 9 października 23andMe poinformowało, że firma „zaangażowała się w pomoc zewnętrznych ekspertów w dziedzinie medycyny sądowej” i „współpracuje z funkcjonariuszami federalnych organów ścigania”.
23andMe nie odpowiedziało natychmiast na prośbę o komentarz na temat tej historii.
Tong powiedział 23andMe, że do poniedziałku firma „nie złożyła powiadomienia o naruszeniu zgodnie z ustawą Connecticut dotyczącą powiadamiania o naruszeniu”.
„Jak wiecie, to prawo wymaga, aby powiadomienie zostało przekazane naszemu biuru i wszystkim mieszkańcom Connecticut, których to dotyczy, „bez nieuzasadnionej zwłoki” i nie później niż sześćdziesiąt dni po wykryciu naruszenia” – napisał Tong.
Naruszenie „stawia pod znakiem zapytania przestrzeganie przez firmę 23andMe ustawy o ochronie danych Connecticut” – napisał Tong, zadając „pytania dotyczące procesów stosowanych przez 23andMe w celu uzyskania zgody użytkowników, a także środków podjętych przez 23andMe w celu ochrony poufności wrażliwych danych osobowych. Informacja.”
Tong zażądał od 23andMe „całkowitej liczby osób, których dane zostały dotknięte tym incydentem, w tym zestawienia liczby mieszkańców Connecticut”, „podziału kategorii danych osobowych”, niezależnie od tego, czy informacje te zostały udostępnione sprzedaż online, między innymi.
„23andMe zajmuje się gromadzeniem i analizowaniem najbardziej wrażliwych i niezastąpionych informacji o poszczególnych osobach, ich kodzie genetycznym” – napisał Tong w liście. „Ten incydent rodzi pytania dotyczące procesów stosowanych przez 23andMe w celu uzyskania zgody użytkowników, a także środków podjętych przez 23andMe w celu ochrony poufności wrażliwych danych osobowych”.
