Śledztwo wykazało, że 23andMe „nie podjęło podstawowych kroków” w celu ochrony prywatnych informacji
Śledztwo przeprowadzone przez kanadyjskiego komisarza ds. prywatności wykazało, że firma 23andMe, zajmująca się testami DNA, nie miała odpowiednich zabezpieczeń danych i zignorowała sygnały ostrzegawcze przed masowym naruszeniem bezpieczeństwa danych, do którego doszło prawie dwa lata temu.
Komisarz Philippe Dufresne powiedział reporterom, że w 2023 r., gdy hakerzy uzyskali dostęp do około 6,9 mln profili w witrynie — prawie połowy jej klientów — nie wdrożono odpowiednich zabezpieczeń.
„Wyciek jest przestrogą dla wszystkich organizacji co do znaczenia ochrony danych” – powiedział Dufresne podczas konferencji prasowej we wtorek.
„Wraz ze wzrostem powagi i złożoności naruszeń danych — a także gwałtownym wzrostem ataków ransomware i malware — każda organizacja, która nie podejmuje kroków w celu priorytetowego traktowania ochrony danych i przeciwdziałania tym zagrożeniom, jest coraz bardziej podatna”.
Profile klientów zawierały delikatne dane osobowe, w tym rok urodzenia, lokalizację geograficzną, informacje o stanie zdrowia i procent DNA, którym użytkownicy dzielą się ze swoimi krewnymi. Dufresne powiedział, że część skradzionych informacji była później sprzedawana online.
Śledztwo rozpoczęto w zeszłym roku we współpracy z brytyjskim komisarzem ds. informacji Johnem Edwardsem.
„Firma 23andMe nie podjęła podstawowych kroków w celu ochrony danych osobowych, jej systemy bezpieczeństwa były niewystarczające, pojawiły się sygnały ostrzegawcze, a firma reagowała powoli” – powiedział Edwards.
Podobnie jak inne firmy zajmujące się testami genetycznymi, 23andMe wykorzystuje próbki śliny do generowania raportów na temat pochodzenia klienta, a także jego potencjalnych predyspozycji do określonych schorzeń.
Komisarze poinformowali, że naruszenie bezpieczeństwa z 2023 r. dotknęło prawie 320 000 Kanadyjczyków i 150 000 osób w Wielkiej Brytanii.
Edwards powiedział, że Wielka Brytania nałożyła na firmę z siedzibą w San Francisco karę pieniężną w wysokości 4,2 mln dolarów za naruszenie bezpieczeństwa danych, ale Dufrense stwierdził, że nie ma uprawnień do nałożenia na firmę kar pieniężnych.
„[Uprawnienia do karania firm] są czymś, co istnieje szeroko na całym świecie w organach ochrony prywatności i jest czymś koniecznym. Niestety kanadyjskie prawo ochrony prywatności jeszcze mi tego nie zapewnia” – powiedział Dufrense.
W przeszłości proponowano zmiany prawne, które miałyby dać komisarzowi ds. prywatności uprawnienia do nakładania grzywien, ale nigdy nie zostały uchwalone. Dufrense powiedział, że ma nadzieję, że nowy parlament wkrótce ponownie zaproponuje zmiany.
23andMe złożyło wniosek o upadłość na początku tego roku i ogłosiło, że sprzeda swoje aktywa — co oznacza, że dane klientów mogą być „dostępne, sprzedawane lub przenoszone”. Jednak firma stwierdziła, że proces upadłościowy nie wpłynie na sposób przechowywania, zarządzania lub ochrony danych klientów.
Dufresne i Edwards stwierdzili, że oczekują, że firma będzie odpowiednio chronić dane użytkowników podczas każdej sprzedaży.
„Będziemy to uważnie śledzić… obowiązki [dotyczące prywatności] powinny nadal obowiązywać każdego nowego właściciela” – powiedział Dufresne.
cbc.ca
