Генеральный прокурор Калифорнии Роб Бонта инициировал судебное разбирательство в отношении компании Chrome Holding Co., ранее известной как 23andMe. Иск связан с масштабным инцидентом безопасности, произошедшим в 2023 году, в результате которого под угрозой оказалась конфиденциальная информация миллионов клиентов, включая генетические данные, сведения о состоянии здоровья и происхождении.
Детали инцидента и обвинения
По данным надзорных органов, утечка затронула около 7 миллионов пользователей по всей территории США, из них более 855 тысяч человек проживают в Калифорнии. Компанию обвиняют в ненадлежащей защите персональных данных и введении клиентов в заблуждение относительно уровня безопасности их генетической информации.
В ходе расследования выяснилось, что злоумышленники получили доступ к учетным записям с помощью метода подбора паролей, известных как «credential stuffing» — использование учетных данных, скомпрометированных в ходе предыдущих утечек на сторонних ресурсах. В частности, хакеры использовали пароли, похищенные ранее у платформы MyHeritage, с которой сотрудничала 23andMe. Несмотря на осведомленность об уязвимости партнерского сервиса, руководство 23andMe не предприняло мер для предотвращения использования аналогичных связок логинов и паролей.
Последствия хакерской атаки
- Злоумышленники получили доступ к 14 тысячам аккаунтов, после чего использовали уязвимость в функции поиска биологических родственников для сбора данных миллионов других пользователей.
- Система безопасности платформы оказалась настолько уязвимой, что хакеры могли оставаться незамеченными в течение пяти месяцев.
- Компания начала внутреннее расследование только после того, как похищенные данные были выставлены на продажу в даркнете, а злоумышленники потребовали выкуп.
В исковом заявлении отмечается, что при информировании клиентов руководство компании преуменьшило серьезность инцидента. В частности, представители 23andMe утверждали, что функция поиска родственников является «по сути публичной», в то время как велись скрытые переговоры с хакерами, которые выделяли украденные данные об этническом происхождении определенных групп населения как наиболее ценные для продажи.
Текущее положение компании
В марте 2025 года 23andMe подала заявление о банкротстве. Ранее организация уже стала фигурантом коллективного судебного иска, по которому суд одобрил мировое соглашение на сумму 50 миллионов долларов.
* — деятельность компании запрещена на территории РФ
