L'indagine rivela che 23andMe "non ha adottato misure di base" per proteggere le informazioni private
Un'indagine del commissario canadese per la privacy ha scoperto che la società di test del DNA 23andMe non aveva un'adeguata protezione dei dati e ha ignorato i segnali di allarme che hanno preceduto una massiccia violazione dei dati avvenuta quasi due anni fa.
Il commissario Philippe Dufresne ha dichiarato ai giornalisti che nel 2023 non erano state adottate le misure di protezione adeguate, quando gli hacker hanno avuto accesso a circa 6,9 milioni di profili sul sito, ovvero quasi la metà della sua base clienti.
"La violazione serve da monito per tutte le organizzazioni sull'importanza della protezione dei dati", ha affermato Dufresne durante una conferenza stampa tenutasi martedì.
"Con le violazioni dei dati sempre più gravi e complesse, e gli attacchi ransomware e malware in forte aumento, qualsiasi organizzazione che non adotti misure per dare priorità alla protezione dei dati e affrontare queste minacce diventa sempre più vulnerabile."
I profili dei clienti contenevano dati personali delicati, tra cui anno di nascita, posizione geografica, informazioni sanitarie e la percentuale di DNA che gli utenti condividono con i propri familiari. Dufresne ha affermato che alcune delle informazioni rubate sono state successivamente vendute online.
L'indagine è stata avviata lo scorso anno in collaborazione con il commissario per l'informazione del Regno Unito John Edwards.
"23andMe non ha adottato misure basilari per proteggere le informazioni delle persone, i suoi sistemi di sicurezza erano inadeguati, i segnali di allarme erano presenti e l'azienda è stata lenta a reagire", ha affermato Edwards.
Come altre aziende che offrono test genetici, 23andMe utilizza campioni di saliva per generare report sulle origini dei clienti e sulle potenziali predisposizioni a determinate condizioni di salute.
Secondo i commissari, la violazione del 2023 ha interessato circa 320.000 cittadini canadesi e 150.000 persone nel Regno Unito.
Edwards ha affermato che il Regno Unito ha inflitto all'azienda con sede a San Francisco una multa di 4,2 milioni di dollari per la violazione dei dati, ma Dufrense ha affermato di non avere il potere di infliggere sanzioni pecuniarie all'azienda.
"[L'autorità di sanzionare le aziende] è una norma ampiamente riconosciuta in tutto il mondo dalle autorità preposte alla privacy ed è necessaria. Purtroppo, la legge canadese sulla privacy non mi fornisce ancora questa possibilità", ha affermato Dufrense.
In passato sono state proposte modifiche legislative che avrebbero conferito al Commissario per la privacy l'autorità di imporre sanzioni, ma non sono mai state promulgate. Dufrense ha affermato di sperare che il nuovo Parlamento proponga presto nuove modifiche.
23andMe ha dichiarato bancarotta all'inizio di quest'anno e ha annunciato che avrebbe venduto i suoi asset, il che significa che i dati dei clienti potrebbero essere "accessibili, venduti o trasferiti". Tuttavia, l'azienda ha affermato che la procedura fallimentare non influirà sulle modalità di archiviazione, gestione e protezione dei dati dei clienti.
Dufresne ed Edwards hanno affermato che si aspettano che l'azienda protegga adeguatamente i dati degli utenti durante ogni vendita.
"Seguiremo la situazione con attenzione... gli obblighi [sulla privacy] dovrebbero continuare ad applicarsi a qualsiasi nuovo proprietario", ha affermato Dufresne.
cbc.ca
