Kantor Komisaris Informasi Inggris baru saja menjatuhkan denda £ 2,31 juta pada 23andMe untuk pelanggaran data 2023 yang mengekspos informasi genetik dari 155.592 penduduk Inggris. Ini bukan kesalahan “oops, salah email” khas Anda – kami berbicara tentang pohon keluarga, laporan kesehatan, dan latar belakang etnis yang tersebar di jaring gelap seperti sesuatu yang keluar dari cyberThriller. Pelanggaran, yang berasal dari serangan isian kredensial, dikompromikan data dari 14.000 akun dan mempengaruhi jutaan orang dengan profil DNA terkait, mengajukan pertanyaan mendesak tentang apakah DNA Anda berisiko.
Kegagalan keamanan yang berharga jutaan orang
Investigasi ICO terungkap bahwa 23andMe beroperasi seolah-olah masih menjalankan Windows XP pada tahun 2023. Tidak ada otentikasi multi-faktor wajib, sistem pemantauan yang lemah terlewatkan bendera merah yang jelas, dan respons yang tertunda saat tanda peringatan melintas selama berbulan -bulan, seperti detektor asap dengan baterai sekarat.
Komisaris Informasi John Edwards Tidak berbasa -basi: “Ini adalah pelanggaran yang sangat merusak karena informasi pribadi yang sensitif, sejarah keluarga, dan bahkan kondisi kesehatan,” kata John Edwards, Komisaris Informasi Inggris.
Data genetik Anda tidak seperti nomor kartu kredit – Anda tidak bisa hanya mendapatkan yang baru dikeluarkan. Setelah informasi itu Pukul Internetitu tetap di sana selamanya, berpotensi mempengaruhi bukan hanya Anda tetapi kerabat Anda yang bahkan tidak pernah menggunakan layanan ini.
Apa yang terpapar (dan apa yang tidak)
Data yang dicuri termasuk nama, tahun kelahiran, lokasi, foto profil, ras, etnis, laporan kesehatan, dan koneksi keluarga. Untungnya, data DNA mentah tidak dikompromikan, tetapi peretas masih mengambil detail pribadi yang cukup untuk menyebabkan sakit kepala privasi yang serius yang akan membuat Mark Zuckerberg gugup.
Pelanggaran khususnya Pengguna yang ditargetkan dengan warisan Yahudi Ashkenazimenambahkan dimensi yang mengganggu ke situasi yang sudah berantakan. Begini jadwal waktu serangan itu:
- April 2023: Peretas mulai mengakses akun melalui isian kredensial.
- Oktober 2023: 23andMe Akhirnya mendeteksi pelanggaran setelah berbulan -bulan aktivitas.
- Desember 2023: Perusahaan mulai memberi tahu pengguna yang terkena dampak.
- 2024: 23andMe menerapkan langkah -langkah keamanan yang tepat (Lebih baik terlambat daripada tidak sama sekali).
- Maret 2025: Perusahaan mengajukan kebangkrutan.
Untuk tinjauan komprehensif tentang insiden tersebut dan apa yang diekspos, lihat bocor data 23andMe.
“Perlindungan data yang kuat harus menjadi prioritas bagi organisasi, terutama yang memegang informasi pribadi yang sensitif,” kata Philippe DufresneKomisaris Privasi Kanada, yang bekerja dengan regulator Inggris dalam kasus ini.
Kebangkrutan setelahnya
23andMe pergi dari a Penilaian $ 6 miliar pada tahun 2021 ke pengadilan kebangkrutan Maret 2025 Lebih cepat dari yang dapat Anda katakan “Penyelesaian Pelanggaran Data”. Bencana privasi bukan satu -satunya pelakunya – permintaan yang menurun dan kekhawatiran creepiness umum telah melukai bisnis ini, tetapi tentu saja mempercepat spiral ke bawah perusahaan.
Anne WojcickiCo-founder 23andMe, adalah Membeli kembali perusahaan melalui lembaga penelitian TTAM nirlaba untuk $ 305 juta. Dia menjanjikan perlindungan data yang lebih baik dan memberi pelanggan hak untuk hapus informasi genetik mereka sepenuhnya. Apakah itu cukup untuk membangun kembali kepercayaan masih harus dilihat, tetapi setidaknya 15% pelanggan telah meminta penghapusan data sejak pengajuan kebangkrutan.
Kasus ini menetapkan preseden yang serius untuk perusahaan yang menangani data genetik. Denda ICO mungkin tampak sederhana dibandingkan Mantan penilaian 23andMetetapi mengirimkan pesan yang jelas: Perlakukan informasi genetik seperti data kategori khusus itu, atau menghadapi konsekuensinya. DNA Anda layak mendapatkan keamanan yang lebih baik daripada kata sandi Netflix Anda.