23AndMe miało „niewystarczające” zabezpieczenia przed „poważnie szkodliwym” atakiem hakerskim: dochodzenie
Firma zajmująca się danymi genetycznymi 23AndMe miała „niewystarczające” systemy bezpieczeństwa i „powolnie reagowała” na sygnały ostrzegawcze, że poufne dane klientów są zagrożone przed „poważnie szkodliwym” naruszeniem danych w 2023 r., twierdzą urzędnicy ds. prywatności.
Kanadyjski komisarz ds. prywatności Philippe Dufresne i brytyjski komisarz ds. informacji John Edwards opublikowali we wtorek wyniki wspólnego dochodzenia w sprawie naruszenia .
Śledztwo wykazało, że spośród prawie siedmiu milionów osób na całym świecie, których dane genetyczne zostały naruszone, hakerzy ujawnili poufne informacje dotyczące niemal 320 000 Kanadyjczyków i ponad 150 000 osób w Wielkiej Brytanii.
Dufresne powiedział we wtorek, że naruszenie bezpieczeństwa danych stanowi „przestrogę” dla wszystkich organizacji, dotyczącą znaczenia ochrony danych.
Wielka Brytania nakłada grzywnę na 23andMe za „poważnie szkodliwe” naruszenie danych
Dufresne dodał, że 23andMe nie posiadało odpowiednich środków bezpieczeństwa, w tym odpowiednich środków uwierzytelniania i weryfikacji w ramach procesu logowania, takich jak uwierzytelnianie wieloskładnikowe, a nawet rygorystyczne wymagania dotyczące minimalnego hasła.
Historia jest kontynuowana poniżej reklamy
„W obliczu rosnącej powagi i złożoności naruszeń danych oraz gwałtownego wzrostu liczby ataków ransomware i malware, każda organizacja, która nie podejmuje kroków w celu priorytetowego traktowania ochrony danych i przeciwdziałania tym zagrożeniom, jest coraz bardziej podatna na ataki” – powiedział Dufresne.
Choć kanadyjski komisarz ds. prywatności nie ma uprawnień do nakładania grzywien, brytyjski komisarz ds. informacji może to zrobić – i w tym przypadku nałożył na firmę 23andMe karę w łącznej wysokości 2,31 mln funtów.
Kara pieniężna jest wynikiem „niewdrożenia przez firmę 23andMe odpowiednich środków bezpieczeństwa w celu ochrony danych osobowych użytkowników w Wielkiej Brytanii” – powiedział Edwards.
Ekspert ds. cyberbezpieczeństwa o tym, co bankructwo 23andMe oznacza dla danych klientów
Edwards powiedział, że wyciek danych z października 2023 r. ujawnił poufne informacje osobiste, historie rodzinne, a nawet stan zdrowia.
Otrzymuj najświeższe wiadomości medyczne i informacje zdrowotne dostarczane do Ciebie w każdą niedzielę.
„To było wyjątkowo szkodliwe naruszenie” – powiedział.
„23andMe nie podjęło podstawowych kroków w celu ochrony informacji ludzi. Systemy bezpieczeństwa były niewystarczające. Znaki ostrzegawcze były widoczne, a firma reagowała powoli. To sprawiło, że najbardziej wrażliwe dane osobowe ludzi były narażone na wykorzystanie i szkody”.
Historia jest kontynuowana poniżej reklamy
Następnie powiedział reporterom, że jego biuro skontaktowało się z osobami, których dotyczyło naruszenie, i stwierdziło, że odczuwają one „zaniepokojenie” tym, co może to oznaczać dla ich bezpieczeństwa osobistego, finansowego i rodzinnego.
Według Dufresne'a, ich śledztwo wykazało, że skradzione dane były również oferowane na sprzedaż w Internecie, co narażało dane osobowe osób zainteresowanych na „jeszcze większe ryzyko”.
Kwestie zdrowotne: Regeneron kupuje 23andMe
Firma rozstrzygnęła pozew pod koniec zeszłego roku , w którym oskarżono 23andMe o brak ochrony prywatności 6,9 mln klientów, których dane osobowe zostały ujawnione w wyniku naruszenia. Firma została zobowiązana do zapłaty 30 mln USD i zapewnienia trzyletniego monitoringu bezpieczeństwa.
W miesiącach od włamania firma musiała zmierzyć się z licznymi problemami, m.in. ze spadkiem wartości spółki na giełdzie o ponad 97 procent oraz rezygnacją siedmiu niezależnych dyrektorów we wrześniu ubiegłego roku w związku z doniesieniami, że pierwotny założyciel planuje ponowne wycofanie spółki z giełdy.
Historia jest kontynuowana poniżej reklamy
Firma nigdy nie osiągnęła zysku i w marcu ogłosiła upadłość , a następnie postanowiła sprzedać swój majątek na aukcji po spadku popytu i wycieku danych w 2023 r.
Firma Regeneron Pharmaceuticals w zeszłym miesiącu zgodziła się kupić firmę za 256 milionów dolarów, ale w poniedziałek odmówiła złożenia nowej oferty przejęcia firmy po tym, jak współzałożycielka 23andMe, Anne Wojcicki, przebiła jej ofertę, proponując 305 milionów dolarów z kontrolowanej przez siebie organizacji non-profit.
Ogłoszenie upadłości 23andMe wywołuje obawy dotyczące danych
Oczekuje się, że oferta Wojcicki zostanie zamknięta w nadchodzących tygodniach po rozprawie sądowej zaplanowanej na wtorek, zgodnie z jej non-profit TTAM Research Institute. Non-profit powiedział, że będzie przestrzegać istniejących zasad prywatności 23andMe i przestrzegać wszystkich obowiązujących przepisów o ochronie danych.
Reporterzy pytali Dufresne'a także o Wojcickiego, który pełnił funkcję dyrektora generalnego w czasie wycieku danych, a teraz ponownie przejął obowiązki i potencjalnie sprzedał dane poza firmę.
Historia jest kontynuowana poniżej reklamy
Dodał, że firma podjęła kroki w celu wdrożenia niektórych zaleceń przedstawionych przez jego biuro i biuro Edwardsa oraz otrzymała zapewnienia od nowego nabywcy, że będzie on przestrzegać obowiązujących zasad i klauzul prywatności.
„W raporcie zaznaczyliśmy, że będziemy się temu uważnie przyglądać, że obowiązki powinny nadal obowiązywać każdego nowego właściciela i że w razie jakichkolwiek obaw nasi obywatele mogą się z nami skontaktować, a my podejmiemy odpowiednie kroki” – powiedział Dufresne.
Dodał, że chociaż jego biuro nie może nakładać grzywien, to wydaje zalecenia rządowi i współpracuje ze społecznością międzynarodową w razie potrzeby. Powiedział, że w „odpowiednich przypadkach” może również zwrócić się do Sądu Federalnego o wydanie nakazu nałożenia wiążących zobowiązań na organizację.
Jednak Edwards skierował do firmy 23andMe kolejne, surowe ostrzeżenie, że firma może zostać obciążona dalszymi grzywnami i konsekwencjami, jeśli nie podejmie odpowiednich działań.
„Są to zobowiązania ciągłe, więc kierownictwo zwróciło im uwagę, że zostały naruszone” — powiedział Edwards. „Nie osiągnęli standardu wymaganego przez prawo brytyjskie. Jeśli tego nie naprawią, nadal będą naruszać i mogą zostać narażeni na dalsze działania egzekucyjne”.
Wielka Brytania nakłada grzywnę na 23andMe za „poważnie szkodliwe” naruszenie danych
Ekspert ds. cyberbezpieczeństwa o tym, co bankructwo 23andMe oznacza dla danych klientów
