Autoritățile de confidențialitate din Canada și Regatul Unit au lansat o investigație comună pentru a evalua amploarea informațiilor sensibile ale clienților expuse în încălcarea datelor de la 23andMe din anul trecut.
Comisarul pentru confidențialitate din Canada și Biroul Comisarului pentru Informații (ICO) vor analiza, de asemenea, dacă compania avea măsuri adecvate pentru a securiza datele clienților stocate în sistemele sale.
Investigația comună va examina, de asemenea, dacă 23andMe a alertat persoanele afectate și autoritățile de confidențialitate așa cum este cerut de legile de confidențialitate și protecție a datelor din Canada și Regatul Unit.
„În mâinile greșite, informațiile genetice ale unei persoane ar putea fi folosite în scopuri de supraveghere sau discriminare. Asigurarea faptului că informațiile personale sunt protejate adecvat împotriva atacurilor de actori malefici este un aspect important pentru autoritățile de confidențialitate din Canada și din întreaga lume,” a declarat Comisarul pentru Confidențialitate din Canada, Philippe Dufresne.
„Oamenii trebuie să aibă încredere că orice organizație care gestionează cele mai sensibile informații personale are securitatea și măsurile de protecție adecvate,” a adăugat Comisarul pentru Informații din Regatul Unit, John Edwards.
„Această încălcare a datelor a avut un impact internațional, și așteptăm să colaborăm cu omologii noștri canadieni pentru a asigura protecția informațiilor personale ale oamenilor din Regatul Unit.”
În ianuarie, furnizorul de testare genetică 23andMe a confirmat că atacatorii au furat rapoarte de sănătate și date brute de genotip ale clienților afectați într-un atac de umplere a credențialelor care a durat cinci luni, de la 29 aprilie până la 27 septembrie.
Atacatorii au folosit credențiale furate din alte încălcări de date sau platforme online compromise pentru a sparge conturile 23andMe.
La detectarea atacului pe 10 octombrie, 23andMe a început să solicite tuturor clienților să-și reseteze parolele. Din 6 noiembrie, autentificarea în două pași a fost activată implicit pentru toți clienții noi și existenți.
Compania a dezvăluit în scrisorile de notificare a încălcării datelor trimise persoanelor afectate că unele date furate au fost postate pe forumul de hacking BreachForums și pe subredditul neoficial 23andMe.
Informațiile divulgate includ datele a 4,1 milioane de persoane care locuiesc în Regatul Unit și 1 milion de evrei ashkenazi.
23andMe a declarat pentru BleepingComputer în decembrie că actorii amenințării au descărcat date pentru 6,9 milioane din cei 14 milioane de clienți după ce au încălcat aproximativ 14.000 de conturi de utilizator.
Aproximativ 5,5 milioane de persoane și-au avut datele colectate prin funcția de Rude ADN și 1,4 milioane prin funcția de Arbore Genealogic.
Datorită incidentului, au fost depuse mai multe procese împotriva 23andMe, determinând compania să-și actualizeze Termenii de Utilizare la 30 noiembrie pentru a face mai dificil pentru clienți să se alăture acțiunilor colective.
Cu toate acestea, 23andMe a declarat că modificările au fost făcute pentru a face procesul de arbitraj mai eficient și mai accesibil pentru clienți înțelegere.
Leave a Reply