DNS testēšanas uzņēmumam 23andMe nebija pietiekamas datu aizsardzības un ignorētu brīdinājuma zīmes pirms masveida datu pārkāpuma gandrīz pirms diviem gadiem, atklāja Kanādas privātuma komisāra izmeklēšana.
Komisārs Filips Dufresne žurnālistiem sacīja, ka 2023. gadā nav ieviesta pareiza aizsardzība, kad hakeri ieguva piekļuvi aptuveni 6,9 miljoniem profilu vietnē – gandrīz puse no klienta bāzes.
“Pārkāpums kalpo kā piesardzības pasaka visām organizācijām par datu aizsardzības nozīmi,” otrdien preses konferencē sacīja Dufresne.
“Tā kā datu pārkāpumi pieaug smaguma un sarežģītības pieaugums – kā arī izpirkuma programmatūras un ļaunprātīgas programmatūras uzbrukumi strauji pieaug – jebkura organizācija, kas neveic pasākumus, lai prioritizētu datu aizsardzību un risinātu šos draudus, ir arvien neaizsargātāka.”
Klientu profilos bija delikāti personas dati, ieskaitot dzimšanas gadu, ģeogrāfisko atrašanās vietu, informāciju par veselību un DNS lietotāju procentuālo daudzumu kopīgi ar radiem. Dufresne sacīja, ka daļa no nozagtās informācijas vēlāk tiek pārdota tiešsaistē.
Izmeklēšana tika sākta pagājušajā gadā sadarbībā ar Lielbritānijas informācijas komisāru Džonu Edvardu.
“23andme neizdevās veikt pamatus, lai aizsargātu cilvēku informāciju, viņu drošības sistēmas bija nepietiekamas, tur bija brīdinājuma zīmes un uzņēmums lēnām reaģēja,” sacīja Edvards.
Tāpat kā citi ģenētiskās pārbaudes uzņēmumi, 23andme izmanto siekalu paraugus, lai ģenerētu ziņojumus par klienta senčiem, kā arī iespējamām predispozīcijām noteiktiem veselības stāvokļiem.
Apvienotajā preses konferencē, kas notika otrdienas rītā Otavā, Lielbritānijas informācijas komisārs Džons Edvards paziņoja par 2,31 miljona GBP naudas sodu pret ģenētiskās testēšanas uzņēmumu 23andme. Šis lēmums seko sadarbības izmeklēšanai ar Kanādas Philippe Dufresne privātuma komisāru. Edvards paziņoja, ka uzņēmumam nav īstenoti pamatdrošības pasākumi, kas nepieciešami, lai aizsargātu personisko informāciju visā pasaulē.
2023. gada pārkāpums ietekmēja gandrīz 320 000 kanādiešu un 150 000 cilvēku Lielbritānijā, sacīja komisāri.
Edvards sacīja, ka Apvienotā Karaliste ir iepļaukājusi Sanfrancisko bāzēto uzņēmumu ar USD 4,2 miljonu naudas sodu par datu pārkāpumu, taču Dufrense sacīja, ka viņam nav pilnvaru trāpīt uzņēmumam ar naudas sodiem.
“[The authority to fine companies] ir kaut kas tāds, kas plaši pastāv visā pasaulē privātuma iestādēs, un tas ir kaut kas nepieciešams. Diemžēl Kanādas privātuma likums man to vēl nenodrošina, “sacīja Dufrense.
Likumīgs Iepriekš ir ierosinātas izmaiņas Tas privātuma komisāram dotu pilnvaras iekasēt naudas sodus, guess nekad nav pieņemti. Dufrense sacīja, ka viņš cer, ka jaunais parlaments drīz atkal ierosinās izmaiņas.
Kanādas privātuma komisārs Filips Dufresne aicina uz labākiem instrumentiem, sakot, ka Kanādas likumi neļauj viņam izdot soda naudas, kā viņa Apvienotās Karalistes kolēģis darīja pēc ģenētikas testēšanas uzņēmuma 23andme izmeklēšanas pēc globāla datu pārkāpuma.
23andme šā gada sākumā iesniedza bankrotu un paziņoja, ka tas pārdos savus aktīvus – tas nozīmē, ka klientu datiem var “piekļūt, pārdot vai pārsūtīt”. Tomēr uzņēmums sacīja, ka bankrota course of neietekmēs to, kā tas glabā, pārvalda vai aizsargā klientu datus.
Dufresne un Edvards sacīja, ka viņi sagaida, ka uzņēmums jebkuras pārdošanas laikā pienācīgi aizsargās lietotāju datus.
“Mēs to uzmanīgi sekosim … [privacy] Saistības jāturpina pieteikties jebkuram jaunam īpašniekam, “sacīja Dufresne.
