Британская служба по контролю за данными оштрафовала компанию 23andMe, занимающуюся анализом ДНК, на 2,31 миллиона фунтов стерлингов (3,13 миллиона долларов) за крупное нарушение в 2023 году.
Среди различных недостатков безопасности, продемонстрированных генетической компанией, были:
- Неудовлетворительные меры аутентификации, включая отсутствие обязательного MFA и требований к небезопасному паролю
- Не было принято никаких мер для предотвращения доступа к необработанным генетическим данным и их загрузки
- Нет мер для адекватного мониторинга, обнаружения или реагирования на угрозы безопасности пользовательских данных
Это заявление было сделано спустя год после того, как Управление Комиссара по информации (ICO) и Управление Комиссара по защите частной жизни Канады (OPC) объединились. до расследования 23andMe и сбоев, которые привели к тому, что злоумышленники скомпрометировали данные почти 7 миллионов пользователей.
Джон Эдвардс, уполномоченный по информации Великобритании, сказал: «Это было чрезвычайно серьезное нарушение, которое раскрыло конфиденциальную личную информацию, семейные истории и даже состояние здоровья тысяч людей». люди в Великобритании. Как сообщил нам один из пострадавших, после того, как эта информация будет опубликована, ее нельзя будет изменить или повторно использовать, например, ввести пароль или номер кредитной карты.
«23andMe не предпринял элементарных шагов для защиты этой информации. Их системы безопасности были неадекватны, на них висели предупреждающие знаки, а компания не спешила реагировать. Это сделало наиболее важные данные людей уязвимыми для эксплуатации и причинения вреда».
В ходе ICO также был отмечен пятимесячный разрыв между действиями злоумышленника по утечке учетных данных, которые начались в апреле 2023 года, и 23andMe, который, наконец, публично признал факт атаки в октябре того же года.В нем говорилось, что 23andMe «упустила много возможностей действовать» за это время и сделала это только после того, как украденные данные были выставлены на продажу на Reddit.23andMe потребовалось время до конца 2024 года, чтобы продемонстрировать, что он в достаточной степени устранил фундаментальные проблемы, которые лежали в основе атаки с использованием учетных данных, говорится в объявлении ICO.Штраф генетической компании представляет собой значительное сокращение по сравнению с суммой, которую ранее рассматривало ICO, когда оно опубликовало свое уведомление о намерении оштрафовать 23andMe в марте.В то время предлагаемый штраф составлял 4,59 миллиона фунтов стерлингов (6,22 миллиона долларов). Представитель ICO сообщил сегодня The Register: «По закону компании была предоставлена возможность направлять заявления относительно наших выводов о фактах, применения закона, предлагаемой формы регулирующего воздействия, если таковое имеется, и размера предлагаемого штрафа.
«Мы рассмотрели эти заявления и приняли окончательное решение оштрафовать 23andMe на 2,31 миллиона фунтов стерлингов за нарушение закона о защите данных».
Факты атаки
Взлом 23andMe произошел в период между Апрель и сентябрь 2023 года, в течение которых злоумышленники использовали методы подделки учетных данных для доступа к небольшой части всех учетных записей пользователей.За это время был получен доступ к примерно 14 000 учетным записям, что составляет примерно 0,1 процента от общего числа зарегистрировавшихся на платформе. Однако общее число затронутых пользователей было намного больше. Во многом это связано с тем, что так много пользователей воспользовались функцией 23andMe «ДНК родственников», одной из главных преимуществ сервиса, которая позволяет пользователям общаться со своими предполагаемыми родственниками по всему миру.Эта функция, по сути, открыла доступ к данным между пользователями 23andMe в массовом масштабе, а это означает, что компрометация всего 14 000 учетных записей привела к краже личных данных примерно 6,9 миллионов человек.По данным ICO, пострадали 155 592 жителя Великобритании. У них потенциально были доступны такие данные, как имена, годы рождения, местоположение на уровне города или почтового индекса, изображения профиля, расовая и этническая принадлежность, генеалогические древа и отчеты о состоянии здоровья, хотя для каждого пользователя это было по-разному.
Глава 11
Ранее в этом году 23andMe подала заявку на защиту от банкротства по главе 11, подняв вопрос о том, как именно она будет выплачивать штраф ICO.
Служба мониторинга данных осведомлена о процедурах, которые включают в себя аукцион, и о том, что на сегодня запланировано слушание по продаже, на котором, как ожидается, основательница Энн Войчицки будет официально объявлена владельцем после того, как ее некоммерческий исследовательский институт TTAM предложит цену в 305 миллионов долларов.
ICO находится в тесном контакте с юристами 23andMe и доверительным управляющим из США и заверяет, что 23andMe по-прежнему обязана соблюдать GDPR Великобритании и правоприменительные действия регулятора.
Компания считает свою политику по взысканию штрафов надежной, но справедливой, предлагая планы выплат организациям, испытывающим серьезные финансовые трудности, — критерий, которому может соответствовать 23andMe, хотя регулятор никак это не прокомментировал.Организации, которые могут платить, но не будут этого делать, могут ожидать, что ICO предпримет официальные действия по взысканию, которые могут привести к неплатежеспособности.Филипп Дюфресн, комиссар по вопросам конфиденциальности Канады, сказал: «Надежная защита данных должна быть приоритетом для организаций, особенно тех, которые хранят конфиденциальную личную информацию. В условиях растущей серьезности и сложности утечек данных, а также резкого роста числа атак с использованием программ-вымогателей и вредоносного ПО любая организация, которая не принимает мер по приоритизации защиты данных и устранению этих угроз, становится все более уязвимой.
«Совместные расследования, подобные этому, демонстрируют, как сотрудничество регулирующих органов может более эффективно решать проблемы глобального масштаба. значение. Используя наши объединенные полномочия, ресурсы и опыт, мы можем максимизировать наше влияние и лучше защищать и продвигать фундаментальное право на неприкосновенность частной жизни физических лиц в разных юрисдикциях».
The Register обратился к 23andMe за комментариями. Представитель компании сообщил, что к концу 2024 года 23andMe предприняла шаги по повышению безопасности аккаунта. Компания TTAM, ее покупатель, взяла на себя обязательства по усилению защиты конфиденциальности, включая отказ от участия, уведомления о нарушениях, совет по защите конфиденциальности, мониторинг личных данных и ограничения на будущие продажи данных, даже пообещав не продавать генетические данные в случае банкротства без соблюдения своих правил конфиденциальности. ®
