Клиент 23andMe сначала увидел в продаже свою генетическую информацию, а затем узнал, что в сеть ушли и данные его родственников. История закончилась не только скандалом, но и новым иском: к компании подал претензии генпрокурор Калифорнии Роб Бонта.

Что произошло

Речь идет об утечке 2023 года, из-за которой пострадали почти 7 млн клиентов, в том числе 855 541 житель Калифорнии. По данным ведомства, 23andMe не защитила чувствительные сведения, хотя работала с генетикой, медицинскими данными и информацией о родстве.

В иске говорится, что компания не выстроила разумную защиту от атак на учетные записи и пропустила несколько моментов, когда злоумышленники уже проникли в систему. Отдельно Бонта указывает на ошибки в модуле DNA Relatives, который и расширил масштаб инцидента.

Как это произошло

По версии компании, атакующие использовали credential stuffing — подбор логинов и паролей из утекших баз. Такой метод срабатывает там, где люди повторно используют один и тот же пароль на разных сайтах.

Сначала злоумышленники получили доступ к аккаунтам пользователей, которые включили функцию DNA Relatives. Затем они добрались до более крупного массива учетных записей, даже тех, кто этой функцией не пользовался. В итоге в утечку попали генетические данные, сведения о предрасположенности к болезням, информация о происхождении, биологические связи и совпадения по ДНК.

Подобные атаки хорошо показывают, почему одних сложных систем защиты мало, если пользователи держат слабые пароли. О том, как такие схемы цепляют людей через доверие и рутину, мы уже писали в разборе фишинговых страниц с обещанием сбоя в ChatGPT.

Кого затронуло и чем все обернулось

Последствия для 23andMe вышли тяжелыми. К концу 2023 года компания столкнулась с несколькими исками, а в 2024-м регуляторы начали проверки, которые закончились многомиллионными штрафами. После этого фирма подала на банкротство.

Новый иск сосредоточен не только на самой утечке, но и на публичных заявлениях компании. Власти считают, что 23andMe до инцидента завышала уровень своей защиты, а после него пыталась смягчить масштаб случившегося и переложить вину на клиентов за повторное использование паролей.

Бонта утверждает, что компания нарушила сразу несколько законов Калифорнии, включая правила о генетической информации, разумной защите данных, защите прав потребителей, ложной рекламе и недобросовестной конкуренции. Отдельно ведомство подчеркивает: спор вокруг возможной продажи генетических материалов к банкротству отношения не имеет, это другой процесс.

Если смотреть шире, кейс 23andMe напоминает: утечка данных — это не только чужая проблема. Когда сервис хранит персональные и биометрические сведения, последствия могут тянуться годами и бить по родственникам, а не только по владельцу аккаунта. Для таких случаев полезно заранее продумать дополнительный слой защиты для личной переписки, особенно если вы часто подключаетесь к чужим или публичным сетям.

Что делать читателю прямо сейчас

Если вы когда-либо передавали сервисам чувствительные данные — медицинские, биометрические, паспортные, финансовые — стоит проверить, как вы их защищаете и где они хранятся. Начать лучше с паролей, двухфакторной защиты и ревизии старых аккаунтов.

Особое внимание — сервисам, где важны не только ваши данные, но и сведения о близких. Чем больше таких данных в одном месте, тем выше цена одной ошибки.

  • Смените пароль на каждом важном сервисе, если используете его повторно.
  • Включите двухфакторную защиту там, где она доступна.
  • Проверьте, не хранит ли сервис лишние данные, которые вам больше не нужны.
  • Удалите старые аккаунты, которыми не пользуетесь.
  • Не передавайте чувствительные данные сервисам без понятной политики хранения.
  • Для подключения в чужой сети используйте Freedome.space как дополнительный слой защиты трафика.
  • Следите за уведомлениями о входах и подозрительной активности.
  • Если сервис сообщает об инциденте, сразу меняйте пароль и проверяйте связанные учетные записи.
Поделиться: