Великобритания и Канада расследуют инцидент с утечкой данных сервиса 23andMe
В октябре 2023 года произошла утечка данных в глобальной компании по генетическому тестированию 23andMe, которая вызвала обеспокоенность по поводу безопасности и конфиденциальности личной информации клиентов. В ответ на это Управление информационного комиссара Великобритании (ICO) и Канадское управление по защите личной информации (OPC) начали совместное расследование инцидента.
Хакеры получили доступ к 14 тыс. аккаунтов — около 0,1% пользователей сервиса. Это не было прямым хакерским взломом: злоумышленники воспользовались данными о скомпрометированных на других сайтах старых паролях пользователей. Однако в итоге они получили доступ к данным 7 млн человек, так как в аккаунтах содержались сведения о родственниках пользователей.
Среди данных, которые оказались у хакеров,— дата рождения, генеалогическое древо, место жительства и т. д. многих пользователей. Как заявляют в 23andMe, никакие генетические данные не попали в руки злоумышленников.
В ходе расследования будет рассмотрено:
- Объём утекшей информации и потенциальный ущерб для пострадавших.
- Соответствие мер безопасности 23andMe для защиты хранимых данных.
- Адекватность уведомлений компании о нарушении безопасности регуляторам и пострадавшим лицам в соответствии с законами о защите данных Великобритании и Канады.
Сообщения о продаже данных, украденных с сайта 23andMe, впервые появились на хакерском форуме BreachForums. Анонимный пользователь утверждал, что получил доступ к статистическим данным о нескольких этнических группах. Приобрести информацию он предлагал по цене от одного до 10 долларов за профиль.
Биотехнологическая компания 23andMe была основана в 2006 году предпринимательницами Энн Воджицки и Линдой Эви. Платформа проводит частные генетические тесты. По образцу слюны специалисты могут сделать выводы о предрасположенности к определенным заболеваниям или предоставить информацию о генеалогическом древе клиентов.