23AndMe aveva una sicurezza "inadeguata" prima dell'attacco hacker "profondamente dannoso": inchiesta
I responsabili della privacy affermano che la società di dati genetici 23AndMe aveva sistemi di sicurezza "inadeguati" ed è stata "lenta nel reagire" ai segnali di allarme che indicavano che i dati sensibili dei clienti erano a rischio prima della violazione dei dati "profondamente dannosa" del 2023.
Il Commissario canadese per la privacy Philippe Dufresne e il Commissario per l'informazione del Regno Unito John Edwards hanno pubblicato martedì i risultati della loro indagine congiunta sulla violazione .
L'indagine ha scoperto che, delle quasi sette milioni di persone colpite in tutto il mondo, circa 320.000 canadesi e più di 150.000 persone nel Regno Unito hanno visto i propri dati genetici sensibili compromessi dagli hacker.
Dufresne ha affermato martedì che la violazione rappresenta un "monito" per tutte le organizzazioni circa l'importanza della protezione dei dati.
Il Regno Unito multa 23andMe per violazione dei dati "profondamente dannosa"
Dufresne ha aggiunto che 23andMe non disponeva di misure di sicurezza, tra cui misure di autenticazione e verifica appropriate durante il processo di accesso, come l'autenticazione a più fattori e persino requisiti minimi per una password complessa.
La storia continua sotto la pubblicità
"Con le violazioni dei dati sempre più gravi e complesse e gli attacchi ransomware e malware in forte aumento, qualsiasi organizzazione che non adotti misure per dare priorità alla protezione dei dati e affrontare queste minacce diventa sempre più vulnerabile", ha affermato Dufresne.
Mentre il Commissario per la privacy del Canada non ha il potere di imporre multe, il Commissario per l'informazione del Regno Unito può farlo e, in questo caso, sta multando 23andMe per un totale di 2,31 milioni di sterline.
La multa è dovuta al fatto che 23andMe "non ha implementato misure di sicurezza adeguate per proteggere le informazioni personali degli utenti del Regno Unito", ha affermato Edwards.
Un esperto di sicurezza informatica spiega cosa significa il fallimento di 23andMe per i dati dei clienti
Edwards ha affermato che la violazione dei dati dell'ottobre 2023 ha reso pubblici dati personali sensibili, anamnesi familiari e persino condizioni di salute.
Ricevi ogni domenica le ultime notizie mediche e informazioni sulla salute.
"Si è trattato di una violazione profondamente dannosa", ha affermato.
"23andMe non ha adottato misure basilari per proteggere le informazioni degli utenti. I sistemi di sicurezza erano inadeguati. I segnali di allarme erano presenti e l'azienda è stata lenta a reagire. Questo ha lasciato i dati personali più sensibili delle persone vulnerabili a sfruttamento e danni."
La storia continua sotto la pubblicità
Ha poi dichiarato ai giornalisti che il suo ufficio aveva ascoltato le testimonianze delle persone coinvolte dalla violazione, le quali hanno affermato di sentirsi "in ansia" per le possibili conseguenze che ciò avrebbe potuto avere sulla loro sicurezza personale, finanziaria e familiare.
Secondo Dufresne, la loro indagine ha scoperto che i dati rubati venivano anche messi in vendita online, mettendo "a rischio ulteriore" le informazioni personali delle persone interessate.
Questioni di salute: Regeneron acquista 23andMe
L'azienda ha patteggiato una causa alla fine dello scorso anno che accusava 23andMe di non aver protetto la privacy di 6,9 milioni di clienti, le cui informazioni personali erano state esposte durante la violazione. L'azienda è stata condannata a pagare 30 milioni di dollari e a fornire tre anni di monitoraggio della sicurezza.
Nei mesi successivi alla violazione, la società ha dovuto affrontare numerosi problemi, tra cui un calo del suo valore in borsa di oltre il 97 percento e le dimissioni dei suoi sette amministratori indipendenti lo scorso settembre, in seguito alla notizia che il fondatore originario stava pianificando di rendere nuovamente privata la società.
La storia continua sotto la pubblicità
L'azienda non ha mai realizzato profitti e ha dichiarato bancarotta a marzo , cercando di vendere la sua attività all'asta dopo un calo della domanda e la violazione dei dati del 2023.
Il mese scorso Regeneron Pharmaceuticals ha accettato di acquistare la società per 256 milioni di dollari, ma lunedì ha rifiutato di presentare una nuova offerta per l'azienda dopo che la co-fondatrice di 23andMe Anne Wojcicki ha superato la sua offerta, presentando 305 milioni di dollari dall'organizzazione non-profit da lei controllata.
La dichiarazione di fallimento di 23andMe solleva preoccupazioni sui dati
Secondo il suo istituto di ricerca no-profit, il TTAM Research Institute, l'offerta di Wojcicki dovrebbe concludersi nelle prossime settimane, dopo un'udienza in tribunale prevista per martedì. L'istituto ha dichiarato che rispetterà le attuali politiche sulla privacy di 23andMe e rispetterà tutte le leggi applicabili in materia di protezione dei dati.
I giornalisti hanno anche chiesto a Dufresne se Wojcicki, che era CEO durante la violazione dei dati, avesse ripreso il controllo e avrebbe potuto vendere i dati al di fuori dell'azienda.
La storia continua sotto la pubblicità
Ha affermato che la società ha adottato misure per soddisfare alcune delle raccomandazioni avanzate dai suoi uffici e da quelli di Edwards e che il nuovo acquirente ha assicurato che avrebbe rispettato le attuali clausole e politiche sulla privacy.
"Nel rapporto abbiamo indicato che seguiremo la situazione con attenzione, che gli obblighi continueranno ad applicarsi a qualsiasi nuovo proprietario e che, in caso di dubbi, i nostri cittadini potranno contattarci e noi prenderemo le misure appropriate", ha affermato Dufresne.
Ha aggiunto che, sebbene il suo ufficio non possa imporre multe, sta formulando raccomandazioni al governo e collaborando con la comunità internazionale secondo necessità. Ha affermato che, in "casi appropriati", può anche rivolgersi alla Corte Federale per ottenere un'ordinanza che imponga obblighi vincolanti a un'organizzazione.
Ma Edwards ha rivolto un ulteriore severo avvertimento a 23andMe: se non vengono presi provvedimenti, l'azienda potrebbe incorrere in ulteriori multe e sanzioni.
"Si tratta di obblighi in corso, quindi è stato segnalato ai vertici che sono stati violati", ha dichiarato Edwards. "Non hanno raggiunto lo standard richiesto dalla legge britannica. Se non pongono rimedio a questo, rimarranno in violazione e potrebbero essere esposti a ulteriori misure coercitive".
Il Regno Unito multa 23andMe per violazione dei dati "profondamente dannosa"
Un esperto di sicurezza informatica spiega cosa significa il fallimento di 23andMe per i dati dei clienti
