Californië vervolgt 23andMe om onvoldoende bescherming gebruikersdata bij inbraak 2023
Californië's juridisch officier heeft het genetische testbedrijf 23andMe aangeklaagd omdat het gebruikersgegevens onvoldoende beschermde bij een inbraak in 2023 die bijna 7 miljoen mensen in het hele land trof.
Juridisch officier Rob Bonta diende donderdag een rechtszaak in tegen Chrome Holding Co., waaronder 23andMe zich herstructureerde na faillissementaanvraag vorig maart. 23andMe staat bekend om zijn directe DNA-testkits voor consumenten, die klanten informatie gaven over hun afkomst en genetische gevoeligheid voor bepaalde aandoeningen.
De rechtszaak roept op tot diverse civiele boetes tegen 23andMe en gerechtelijke bevelen die het bedrijf verbieden verder inbreuk te maken op Californische privacybeschermingswetten.
Het bedrijf heeft erkend dat het in 2023 een grote veiligheidsinbreuk leed waarbij ongeveer 14.000 accounts werden geopend, waardoor bijna 7 miljoen klanten hun gegevens verloren. De cyberaanval maakte gebruik van 'credential stuffing', een techniek die misbruik maakt van de neiging van klanten om zwakke of veel gebruikte wachtwoorden te gebruiken of hetzelfde wachtwoord op meerdere accounts toe te passen.
Bonta's kantoor stelde dat dit een goed bekende aanval is die bedrijven zouden moeten kennen om tegen in te gaan. De aanvallers gebruikten gestolen gebruikersaccountgegevens, waaronder gegevens uit een massale inbreuk in oktober 2017 die MyHeritage trof, een voormalige partner van 23andMe. Na die inbreuk nam 23andMe geen gangbare maatregelen, zoals klanten vragen hun wachtwoorden opnieuw in te stellen of multi-factor-authenticatie te gebruiken.
23andMe reageerde niet onmiddellijk op een per e-mail verzonden verzoek om commentaar.
'23andMe's veiligheidsmaatregelen waren zo slap dat de bedreiger meer dan vijf maanden onopgemerkt in 23andMe's systemen kon opereren, en opmerkelijk genoeg begon 23andMe pas na onderzoek nadat de bedreiger de gestolen gebruikersgegevens op het darkweb te koop aanbood en 23andMe benaderde met een losgeldeis,' zeiden aanklagers in de vordering.
In oktober 2023 verschenen de gestolen gegevens te koop op het darkweb, waarbij de poster speciaal roemde dat ongeveer 1,1 miljoen consumenten uit Azië-Stille Oceaan en Asjkenazi-joodse gebruikers betrokken waren.
'De verkoop van deze gegevens op het darkweb vond plaats te midden van een periode van toenemende anti-Aziatisch-Amerikaanse en Stille Oceaan en antisemitische haat en geweld,' zei Bonta in een persmededeling. 'Dit is verontrustend en ongelooflijk gevaarlijk.'
Enkele van de gestolen gegevens omvatten ruwe genetische gegevens, gezondheidsverslagen, DNA gedeeld met andere familieleden, en locaties en geboortejaren van familieleden.
De rechtszaak stelt dat 23andMe nadat het het publiek over de inbreuk had ingelicht, consumenten verder misleidde over de ernst van de inbreuk en de rol van het bedrijf erin.
Het bedrijf zei dat het pas in oktober 2023 van de inbreuk hoorde toen de gestolen gegevens te koop werden aangeboden op het darkweb. Echter, de rechtszaak zei dat het bedrijf niet correct onderzoek deed naar rode vlaggen die maanden eerder verschenen, zoals een 'verdachte piek in pogingen tot gebruikersaanmelden' in juli en een Reddit-bericht dat een mogelijke inbreuk en verkoop van gebruikersgegevens in augustus besproken.
Genetische gegevens vereisen 'een van de hoogste niveaus van bescherming' en Californisch recht 'verplicht een verhoogde juridische verplichting' om deze te beschermen, aldus de rechtszaak.
Bonta mengde zich ook om ervoor te zorgen dat genetische gegevens van klanten niet verkeerd zouden worden behandeld tijdens 23andMe's Chapter 11-faillissement en activiteitverkoop, stellende dat Californië's Genetic Information Privacy Act bedrijven eiste om opt-in-toestemming te verkrijgen.
