Великобритания и Канада расследуют инцидент с утечкой данных сервиса 23andMe

В октябре 2023 года произошла утечка данных в глобальной компании по генетическому тестированию 23andMe, которая вызвала обеспокоенность по поводу безопасности и конфиденциальности личной информации клиентов. В ответ на это Управление информационного комиссара Великобритании (ICO) и Канадское управление по защите личной информации (OPC) начали совместное расследование инцидента.

Хакеры получили доступ к 14 тыс. аккаунтов — около 0,1% пользователей сервиса. Это не было прямым хакерским взломом: злоумышленники воспользовались данными о скомпрометированных на других сайтах старых паролях пользователей. Однако в итоге они получили доступ к данным 7 млн человек, так как в аккаунтах содержались сведения о родственниках пользователей.

Среди данных, которые оказались у хакеров,— дата рождения, генеалогическое древо, место жительства и т. д. многих пользователей. Как заявляют в 23andMe, никакие генетические данные не попали в руки злоумышленников.

В ходе расследования будет рассмотрено:

1. Объём утекшей информации и потенциальный ущерб для пострадавших.
2. Соответствие мер безопасности 23andMe для защиты хранимых данных.
3. Адекватность уведомлений компании о нарушении безопасности регуляторам и пострадавшим лицам в соответствии с законами о защите данных Великобритании и Канады.

Сообщения о продаже данных, украденных с сайта 23andMe, впервые появились на хакерском форуме BreachForums. Анонимный пользователь утверждал, что получил доступ к статистическим данным о нескольких этнических группах. Приобрести информацию он предлагал по цене от одного до 10 долларов за профиль.

Биотехнологическая компания 23andMe была основана в 2006 году предпринимательницами Энн Воджицки и Линдой Эви. Платформа проводит частные генетические тесты. По образцу слюны специалисты могут сделать выводы о предрасположенности к определенным заболеваниям или предоставить информацию о генеалогическом древе клиентов.