Firma 23andMe zajmująca się testami genetycznymi jest oskarżona w pozwie zbiorowym o niezapewnienie ochrony prywatności klientów, których dane osobowe zostały ujawnione w zeszłym roku w wyniku naruszenia bezpieczeństwa danych, które dotknęło prawie siedem milionów profili.

W pozwie, który wpłynął w piątek do sądu federalnego w San Francisco, zarzucano także firmie, że nie powiadomiła klientów pochodzących z Chin i Żydów aszkenazyjskich, że najwyraźniej byli oni celem specjalnie lub że ich osobiste dane genetyczne zostały zebrane w „ specjalnie wyselekcjonowane listy”, które były udostępniane i sprzedawane w ciemnej sieci.

Pozew został złożony po złożeniu przez 23andMe powiadomienia do Biura Prokuratora Generalnego Kalifornii, z którego wynikało, że w ciągu pięciu miesięcy, od końca kwietnia 2023 r. do września 2023 r., zanim firma dowiedziała się o naruszeniu, doszło do włamań do firmy. Według zgłoszenia zgłoszonego przez TechCrunch firma dowiedziała się o naruszeniu 1 października, kiedy haker zamieścił na nieoficjalnym subreddicie 23andMe post, w którym twierdził, że posiada dane klientów i udostępnia próbkę jako dowód.

Firma po raz pierwszy ujawniła naruszenie w poście na blogu z 6 października, w którym stwierdziła, że ​​„osoba atakująca” uzyskała dostęp do „niektórych kont” przy użyciu „przetworzonych danych logowania” – starych haseł, których klienci 23andMe używali w innych witrynach które zostało skompromitowane.

Firma ujawniła pełny zakres naruszenia w zaktualizowanym poście na blogu 5 grudnia, po zakończeniu wewnętrznego przeglądu wspomaganego przez „zewnętrznych ekspertów medycyny sądowej”. Do tego czasu, według Eli Wade-Scotta, prawnika powodów, osobiste dane genetyczne użytkowników i inne wrażliwe materiały zostały udostępnione i wystawione na sprzedaż w ciemnej sieci przez dwa miesiące.

23andMe nie odpowiedziało natychmiast na prośby o komentarz w sprawie pozwu.

Jay Edelson, inny prawnik reprezentujący powodów, powiedział, że podejście 23andMe do prywatności i wynikający z niego pozew sygnalizują „zmianę paradygmatu w prawie dotyczącym prywatności konsumentów”, w miarę wzrostu wrażliwości naruszonych danych.

„Teraz, gdy przyjrzymy się naruszeniom danych, naszą pierwszą obawą będzie to, czy informacje te zostaną wykorzystane do fizycznego nękania lub krzywdzenia ludzi na systematyczną, masową skalę” – stwierdził pan Edelson w piątkowym e-mailu. „Standard określający, kiedy firma działa rozsądnie w celu ochrony danych, jest obecnie wyższy, przynajmniej w przypadku rodzaju danych, które można wykorzystać w ten sposób”.

Ojciec dwójki dzieci z Florydy, który jest jednym z dwóch wymienionych w pozwie powodów, powiedział w wywiadzie, że zestaw 23andMe, który kupił sobie w zeszłym roku w prezencie urodzinowym, ujawnił, że ma on żydowskie dziedzictwo aszkenazyjskie. Mężczyzna, którego w skardze zidentyfikowano jedynie po inicjałach, JL, wypowiadał się pod warunkiem zachowania anonimowości, gdyż stwierdził, że obawia się o swoje bezpieczeństwo.

Powiedział, że chce nawiązać kontakt z krewnymi, więc zdecydował się na funkcję o nazwie DNA Relatives, w ramach której wybrane informacje są udostępniane innym klientom 23andMe, którzy mogą być blisko dopasowani genetycznie.

Jak podało w grudniu 23andMe, haker uzyskał dostęp do tej funkcji oraz informacji z 5,5 miliona profili DNA Relatives. Profile mogą zawierać lokalizację geograficzną klienta, rok urodzenia, drzewo genealogiczne i przesłane zdjęcia.

Hakerowi udało się także uzyskać dostęp do informacji profilowych dodatkowych 1,4 miliona klientów, korzystając z funkcji zwanej Family Tree.

Po tym, jak 23andMe poinformował JL i miliony innych użytkowników, że ich dane zostały naruszone, JL wyraził obawę, że może stać się celem w związku z nasileniem się antysemickiej mowy nienawiści i przemocy, podsycanych konfliktem między Izraelem a Gazą.

„Teraz, gdy informacje są już dostępne” – powiedział – „ktoś może przyjść i zdecydować, że wyładuje swoje frustracje”.

Jak wynika z pozwu, 1 października haker, który przedstawił się jako „Golem” i wykorzystał wizerunek Golluma z filmów „Władca Pierścieni” jako awatar, ujawnił dane osobowe ponad 1 miliona użytkowników 23andMe za pomocą Żydowskie pochodzenie na BreachForums, forum internetowym używanym przez cyberprzestępców. Dane obejmowały pełne imiona i nazwiska użytkowników, adresy domowe i daty urodzenia.

Później, w odpowiedzi na prośbę na forum o dostęp do „chińskich kont” skierowaną przez osobę posługującą się pseudonimem „Wuhan”, Golem odpowiedział linkiem do informacji profilowych 100 000 chińskich klientów – wynika z pozwu. Golem powiedział, że ma w sumie 350 000 danych profilowych chińskich klientów i zaoferował udostępnienie pozostałych, jeśli będzie zainteresowanie, wynika z pozwu.

17 października Golem powrócił na forum, aby powiedzieć, że posiada dane na temat „zamożnych rodzin służących syjonizmowi”, które wystawił na sprzedaż po śmiercionośnej eksplozji w arabskim szpitalu Al-Ahli w mieście Gaza – napisano w pozwie. Izraelscy urzędnicy i palestyńscy bojownicy obwiniali się nawzajem o eksplozję, ale izraelskie i amerykańskie agencje wywiadowcze twierdzą, że była ona spowodowana nieudanym wystrzeleniem rakiety palestyńskiej.

Powodowie domagają się rozprawy z ławą przysięgłych oraz nieokreślonego odszkodowania odszkodowawczego, karnego i innego.

„Obecny klimat geopolityczny i społeczny” – argumentowano w pozwie – „zwiększa ryzyko” dla użytkowników, których dane zostały ujawnione. Na początku tego miesiąca przedstawiciel Josh Gottheimer, demokrata z New Jersey, wezwał do wszczęcia dochodzenia FBI w sprawie naruszenia, zwracając uwagę na skupienie się na Żydach aszkenazyjskich.

„Wyciekłe dane mogłyby upoważnić Hamas, jego zwolenników i różne międzynarodowe grupy ekstremistyczne do zaatakowania amerykańskiej populacji Żydów i ich rodzin” – napisał Gottheimer w liście do Christophera Wraya, dyrektora FBI.

Ramesh Srinivasan, profesor na wydziale studiów informatycznych na Uniwersytecie Kalifornijskim w Los Angeles, powiedział, że kontynuacja tego typu naruszeń jest nieunikniona.

Pytanie brzmi, czy firmy rozwiążą te problemy, podejmując poważne środki ostrożności – na przykład zaostrzając bezpieczeństwo lub ograniczając przechowywanie danych – czy też po prostu zastosują plaster, obiecując, że następnym razem będzie lepiej.

„Jeśli chodzi o gromadzenie danych na temat naszego życia, patrzymy w otchłań” – powiedział.