Rob Bonta je optužio kompaniju, koja se sada zove Chrome Holding Co., da nije uspjela da zaštiti osjetljive informacije korisnika.
Kompanija Chrome Holding Co., ranije poznata kao 23andMe, suočava se sa tužbom koju je podnio generalni tužilac Kalifornije Rob Bonta zbog masovnog narušavanja bezbjednosti podataka iz 2023. godine, kada su ugroženi osjetljivi podaci miliona ljudi.
Bonta optužuje kompaniju da je obmanjivala korisnike i da nije uspjela da zaštiti njihove osjetljive lične podatke i genetske podatke koji se odnose na njihovo zdravlje, genetske predispozicije i faktore rizika, biološke rođake, porijeklo i etničku pripadnost. U tužbi se navodi da je ovaj incident pogodio sedam miliona korisnika širom SAD, od kojih su 855.541 bili stanovnici Kalifornije.
Kompanija 23andMe, koja je korisnicima nudila komplete za DNK testiranje kako bi saznali svoje porijeklo i genetske zdravstvene rizike, priznala je još 2023. godine da su hakeri uspjeli da pristupe nalozima korisnika putem tehnike „credential stuffing“ (isprobavanje prethodno ukradenih korisničkih imena i lozinki). Bonta je istakao da bi kompanije, a naročito one koje prikupljaju genetske podatke, morale da znaju kako da se odbrane od tako uobičajene metode sajber napada.
Možda vas zanima
Ugroženi i kreatori i fanovi: Procurili lični podaci miliona ljudi sa OnlyFansa
Razbijen VPN servis: Korišćen za ozbiljne napade širom Evrope
Međutim, nije samo „credential stuffing“ omogućio hakerima da ukradu milione privatnih informacija. Nakon što su iskoristili tu metodu napada da upadnu u 14.000 naloga, potom su iskoristili ranjivost u okviru opcije „DNA Relatives“ (DNK rođaci) na sajtu kako bi pristupili podacima još većeg broja korisnika. Bonta je izjavio da su bezbjednosne mjere kompanije bile toliko slabe da su hakeri uspjeli da djeluju neprimijećeno unutar njenog sistema punih pet mjeseci. Dodao je da je kompanija pokrenula istragu tek nakon što su napadači već počeli da prodaju ukradene podatke korisnika na mračnom webu (dark web) i da traže otkupninu.
Bonta je optužio 23andMe da je prećutao ključne informacije kada je obavještavao korisnike o proboju podataka. Prema njegovim riječima, kompanija je umanjivala značaj osjetljivosti ukradenih podataka i tvrdila da je opcija „DNA Relatives“ praktično javna, dok je istovremeno tajno pregovarala sa hakerima koji su posebno isticali da se među podacima koje prodaju nalaze i informacije o korisnicima azijsko-američkog porijekla, porijekla sa pacifičkih ostrva, kao i o korisnicima jevrejskog porijekla.
„Prodaja ovih podataka na mračnom webu odvijala se u periodu porasta mržnje i nasilja prema Amerikancima azijskog porijekla, porijekla sa pacifičkih ostrva, kao i u periodu antisemitizma – i eksplicitno je skrenula pažnju na duboko ličnu prirodu tih informacija i mogućnost identifikacije“, napisao je Bonta. „Ovo je uznemirujuće i nevjerovatno opasno“.
Kompanija 23andMe je podnijela zahtjev za bankrot u martu 2025. Kako navodi agencija AP, kompanija se takođe suočila sa kolektivnom tužbom koja ju je teretila da nije zaštitila svoje korisnike, a sudija koji vodi postupak bankrota odobrio je nagodbu u iznosu od 50 miliona dolara ranije ove godine.
(B92)
