Ģenētiskās testēšanas uzņēmumam 23andMe ir uzlikts naudas sods vairāk nekā 2,3 miljonu sterliņu mārciņu apmērā par to, ka pēc liela mēroga kiberuzbrukuma 2023. gadā nav aizsargāts vairāk nekā 150 000 Lielbritānijas iedzīvotāju personiskā informācija.
Ģimenes koki, veselības ziņojumi, vārdi un postkodi bija vieni no sensitīvajiem datiem, kas uzlauzti no Kalifornijas uzņēmuma. Tas tikai apstiprināja pārkāpumu mēnešus pēc iefiltrēšanās sākuma, un, kad darbinieks redzēja nozagtos datus, kas tika reklamēti pārdošanai sociālo mediju platformā Reddit, liecina Apvienotās Karalistes informācijas komisāra birojs, kas iekasēja naudas sodu.
Informācijas komisārs Džons Edvards 2023. gada vasarā nosauca mēnešus ilgo incidentu par “dziļi kaitīgu pārkāpumu”. Apvienotās Karalistes datu kompromiss bija tikai neliela daļa no plašākiem zaudējumiem, un to ietekmēja 7 miljoni cilvēku.
23andme lietotājiem iekasē 89 sterliņu mārciņas par to, ka viņu DNS tiek pārbaudīta, izmantojot siekalu bāzes komplektu, ļaujot viņiem atklāt, no kurienes viņu tālie senči ir nāca viņu etniskās piederības un atrašanās vietas ziņā. Guess daudzi klienti lūdza, lai viņu DNS dati tiktu izdzēsti no uzņēmuma arhīviem pēc uzlaušanas, un tas martā iesniedza bankrota aizsardzību ASV.
Sods tika pieņemts kā USD 305 miljoni, lai iegādātos uzņēmumu, kuru vadīja tā bijusī izpilddirektore Anne Wojcicki, izskatījās gatava pārņemt kontroli pār uzņēmumu bankrota izsolē.
Edvards sacīja, ka datu pārkāpums “atklāja sensitīvu personisko informāciju, ģimenes vēsturi un pat tūkstošiem cilvēku veselības stāvokļus Apvienotajā Karalistē”.
“Kā mums teica viens no ietekmētajiem: Kad šī informācija ir pieejama, to nevar mainīt vai atkārtoti izdot kā paroli vai kredītkartes numuru,” viņš teica.
23andme neizdevās veikt pamatus, lai aizsargātu informāciju, un to drošības sistēmas bija nepietiekamas, atklāja Lielbritānijas datu aizsardzības regulators. Pārkāpumi ietvēra stingrākas lietotāja autentifikācijas instalēšanu.
Hakeris izmantoja kopīgu vājumu, ko izraisīja lietotāji, kas atkārtoti izmantoja paroles, kuras jau bija nozagtas citos nesaistītos datu pārkāpumos. Pēc tam hakeri izmantoja automatizētus rīkus, lai izmēģinātu šīs paroles taktikā, ko sauc par “akreditācijas datiem”.
“Brīdinājuma zīmes bija tur, un uzņēmums lēnām reaģēja,” sacīja Edvards, kurš izmeklēšanu veica kopā ar Kanādas privātuma komisāru. “Tas atstāja cilvēku jutīgākos datus, kas ir neaizsargāti pret ekspluatāciju un kaitējumu.”
Pēc biļetenu veicināšanas
Uzņēmuma pārstāvis sacīja, ka 23andme kopš tā laika ir ieviesis vairākus pasākumus, lai palielinātu drošību, lai aizsargātu atsevišķus kontus un informāciju. Viņi sacīja, ka darījumā par 23andMe iegādi Wojcicki bezpeļņas organizācija TTAM pētniecības institūts ir uzņēmies “saistošas saistības uzlabot klientu datu un privātuma aizsardzību, tostarp ļaujot indivīdiem izdzēst savu kontu un izvēlēties pētījumu jebkurā laikā un“ divu gadu laikā no tā, ka tie ir divu gadu laikā, lai nodotu ģenētiskus datus.
Naudas sods ir viens no vairākiem vairāku miljardu mārciņu sodiem, ko pēdējos gados izvirzījuši ICO, lai aizsargātu datus no hacks un ransomware uzbrukumiem. 2022. gadā tas sodīts Būvniecības uzņēmums starpsavies £ 4,4 miljoni, kad tika apdraudēti darbinieki, ieskaitot kontaktinformāciju, bankas kontus, seksuālo orientāciju un veselību.
Šā gada martā tas sodīts NHS IT piegādātājs, uzlabota datoru programmatūras grupa, gandrīz 3,1 miljons sterliņu mārciņu drošības neveiksmēm, kas apdraud gandrīz 80 000 cilvēku personisko informāciju.
