JK ir Kanados privatumo priežiūros institucijos tiria 23andMe duomenų pažeidimą
JK ir Kanados privatumo priežiūros institucijos pernai pradėjo bendrą duomenų pažeidimo tyrimą 23andMe.
Pirmadienį JK Informacijos komisaro biuras (ICO) ir Kanados privatumo komisaro biuras (OPC) paskelbė apie tyrimą dėl genetinių tyrimų bendrovės, sakydami, kad organizacijos panaudos „savo dviejų biurų bendrus išteklius ir patirtį. .
Praėjusiais metais 23andMe atskleidė saugumo incidentą, kuris paveikė 6,9 milijono vartotojų, arba maždaug pusės visos vartotojų bazės, genetinius ir protėvių duomenis. Pranešimuose apie duomenų pažeidimus bendrovė teigė neaptikusi įsilaužėlių veiklos maždaug penkis mėnesius, nuo 2023 m. balandžio mėn. iki rugsėjo mėn. „23andMe“ teigė, kad apie paskyros pažeidimus sužinojo tik 2023 m. spalį, kai įsilaužėliai paskelbė apie pavogtus duomenis neoficialus 23andMe subreddit ir gerai žinomas įsilaužimo forumas.
Pavogti duomenys apėmė asmens vardą, gimimo metus, santykių etiketes, su giminaičiais bendrinamą DNR procentą, protėvių ataskaitas ir paties nurodytą vietą.
Įsilaužėliai įsilaužė į maždaug 14 000 23andMe klientų paskyrų, pakartotinai panaudoję jų slaptažodžius iš ankstesnių pažeidimų, o tai žinoma kaip slaptažodžių išpurškimas. Iš tų 14 000 paskyrų įsilaužėliai galėjo nuskaityti informaciją apie milijonus kitų žmonių dėl pasirinkimo funkcijos, vadinamos DNR giminaičiais, kuri leido vartotojams automatiškai dalytis kai kuriais savo duomenimis su kitais žmonėmis, kurie taip pat buvo pasirinkę. tikslas – atskleisti tolimus giminaičius. Taip įsilaužėliai galėjo iškrapštyti informaciją apie 6,9 milijono vartotojų, įsilaužę tik į 14 000 paskyrų.
Pareiškime cituojamas ICO komisaras Johnas Edwardsas, sakęs, kad žmonės „turi pasitikėti, kad bet kuri organizacija, tvarkanti jų jautriausią asmeninę informaciją, turi atitinkamą saugumą ir apsaugos priemones“.
„Šis duomenų pažeidimas turėjo tarptautinį poveikį, todėl tikimės bendradarbiauti su Kanados kolegomis, siekdami užtikrinti, kad JK žmonių asmeninė informacija būtų apsaugota“, – sakė Edwardsas.
Atliekant bendrą JK ir Kanados tyrimą bus nagrinėjama atskleistos informacijos apimtis ir galima žala aukoms; ar 23andMe „turėjo tinkamas apsaugos priemones“, kad apsaugotų neskelbtinus vartotojų duomenis; ir ar 23andMe „pateikė tinkamą pranešimą“ ICO ir OPC.
„23andMe“ atstovai iš karto neatsakė į prašymą pakomentuoti.