23andMe pokutoval miliony britského hlídacího psa nad „hluboce škodlivým“ kybernetickým útokem | Věda, klima a technické zprávy

Společnost Genetic Testing Company 23andMe je uložena na 2,31 milionu GBP u britského hlídacího psa v rámci jejich porušení dat 2023, které zaznamenaly osobní údaje sedmi milionů lidí ukradených.

Více než 150 000 Britů mělo své osobní údaje vzato hackery. Rodinné stromy, zdravotní zprávy, informace o rase a etnicity mohly být ukradeny, spolu s adresami, daty narození a profilovými obrázky.

Databáze sdílená na fórech Dark Web a prohlížená společností Sky News ‚US Partner Network, NBC News, obsahovala seznam 999 999 lidí, kteří údajně měli Ashkenazi židovské dědictví, podle 23andmeho genetického profilování.

„Crazy. To by mohl použít nacisté,“ řekla jedna osoba v té době, která se objevila v databázi.

Pokuta ICO přichází po a Společné vyšetřování s kanadským hlídacím psem soukromí.

Je to nejzávažnější trest, který může hlídací pes uložit a odráží opakované selhání na ochraně extrémně citlivých údajů, podle informačního komisaře.

„Bylo to nesmírně škodlivé porušení, které odhalilo citlivé osobní údaje, rodinné historie a dokonce i zdravotní podmínky tisíců lidí ve Velké Británii,“ řekl John Edwards, britský informační komisař.

„23andMe nepodařilo podniknout základní kroky k ochraně těchto informací.

„Jejich bezpečnostní systémy byly nedostatečné, byly tam varovné signály a společnost reagovala pomalu. To ponechalo nejcitlivější údaje lidí zranitelné vůči vykořisťování a poškození.“

Navzdory útoku začínajícím v dubnu 2023 23andMe neotevřelo vyšetřování až v říjnu téhož roku, kdy zaměstnanec zjistil, že ukradená data byla inzerována k prodeji na Reddit.

Obrana společnosti se stala dostatečně silnou, aby zastavila útok do konce toho roku – ale to nebyl konec 23 a potíží.

„Žalujte tě na zapomnění“

Do března letošního roku se nejznámější společnost genetického testování na světě podala o bankrot, neschopná znovu vybudovat důvěru po hack a vydělat dostatek peněz z jeho obchodního modelu.

Nyní bude prodána za 305 milionů dolarů (225 milionů GBP) původnímu spoluzakladateli 23andMe Anne Wojcicki a její neziskové TTAM.

Ale výměna puchýře v americkém senátu minulý týden stanovila nové obavy pro citlivé údaje, které uživatelé sdíleli s 23andMe.

Senátor Josh Hawley obvinil Josepha Selsavage, dočasného generálního ředitele 23andme, z lhaní svých zákazníků, když říká, že mohou smazat své genetické údaje z databází společnosti.

„Neodstraníš to,“ řekl, „protože kdybys byl, vaše společnost by neměla hodnotu 300 milionů dolarů.“

„Doufám, že (uživatelé) se vrhnou do soudní budovy (…), aby vás žalovaly do zapomnění.“

Pan Selsavage popřel nároky senátora Hawleyho a řekl, že jeho společnost, když je to požádáno, odstraní všechna uživatelská data.

James Moss, ředitel Cyber ​​Investigations v advokátní kanceláři Addleshaw Goddard, řekl Sky News, že pokuta ICO byla „asi tak vážná, jak se dostane“, ale pořádek pro vymáhání práva, oznámení hlídacího pdoga, které diktuje, jak lze údaje v budoucnu použít, by bylo „důležitější“.

„To je oznámení, které se těší a říká:

Celkem 28 generálních právníků v USA minulý týden zahájilo právní případ proti 23andMe za účelem ochrany uživatelských údajů během prodeje a vyzvala zákazníky, aby očistili své informace z databáze firmy, vzhledem k citlivosti údajů, které v průběhu let shromáždila.

23AndMe již prodává genetická data svých uživatelů a uzavřela nejméně 30 obchodů s biotechnologickými a farmaceutickými společnostmi, jako je GSK.

Mluvčí pro kupujícího 23andMe, TTAM, řekl Sky News, že nezisková organizace přijala „několik závazných závazků ke zvýšení ochrany pro zákaznická data a soukromí“.

Mezi ně patří umožnění jednotlivcům smazat svůj účet a odhlásit se od výzkumu kdykoli, oznámení zákazníkům nejméně dva dny před uzavřením dohody o tom, co pro ně znamená akviziční prostředky TTAM, a dohodnout se, pokud by TTAM měla společnost znovu prodat, pouze prodat někomu, kdo souhlasí s přijetím politik ochrany osobních údajů TTAM a odpovídá datovým zákonům.

Zákazníkům bude také nabídnuto dva roky bezplatného monitorování krádeží indentní identity, zatímco TTAM bude i nadále umožňovat „de-identifikované údaje“ pro vědecký a biomedicínský výzkum na univerzitách a neziskových organizacích.

Žádné peníze pro britské oběti

Jemné peníze 2,31 milionu GBP půjdou spíše do státu než na jednotlivce postižené hackem.

V USA minulý rok oběti hacku vyhrály 30 milionů dolarů v žalobě na hromadu, ale ve Velké Británii to není možnost, navzdory neuvěřitelně citlivým informacím, které byly sdíleny.

Přečtěte si více od Sky News:
Trump Mobile Service oznámila
Jsou vaše inteligentní zařízení špionážní na vás?
„Navždy chemikálie“ nalezená v desítkách britských řek, Studie zjistila

Podle právního zástupce Alex Lawrence Archer z agentury pro datový zákon AWO by podle právního zástupce AWO mohly „zlepšit a zvýšit odpovědnost za narušení ochrany dat“, a to z důvodu porušení údajů o narušení dat.

„Ale také pomáhat jednotlivcům, kteří jsou postiženi, získat něco zpět, pomozte jim získat nápravu, protože pokuta zaplacená ICO to nedosáhne. Ačkoli (pokuta) je vítána, nepomáhá jednotlivcům.“

Pro každého, kdo přemýšlí o použití jedné z mnoha společností genetických testování, které se objevily od 23andMe, bylo založeno v roce 2006, pan Lawrence Archer má varovné rady.

„Předávání vašich genetických údajů je opravdu velký krok a je to něco, co (…) lidé byli dosud povzbuzováni, aby si vzali docela lehce,“ řekl.

„Neexistuje žádné tvrdé a rychlé pravidlo, jako byste to měli, nebo byste to neměli dělat, ale je to něco, o čem byste měli opravdu pečlivě myslet.

„Může to být docela trvalý krok, který je velmi obtížné vrátit zpět. Není to něco, co by se mělo dělat lehce.“

23AndMe byl kontaktován pro komentář.