Compania de testare ADN gigant, 23andMe, a fost de acord să plătească 30 de milioane de dolari pentru a rezolva un proces privind o încălcare a datelor care a expus informațiile personale ale a 6,4 milioane de clienți în 2023.
Acordul propus pentru soluționarea acțiunii colective, depus joi într-un tribunal federal din San Francisco și așteptând aprobarea judecătorească, include plăți în numerar pentru clienții afectați, care vor fi distribuite în termen de zece zile de la aprobarea finală.
„23andMe consideră că acordul este corect, adecvat și rezonabil”, a declarat compania într-un memorandum depus vineri.
23andMe a convenit, de asemenea, să-și întărească protocoalele de securitate ca parte a acordului. Acestea includ protecții împotriva atacurilor de tip credential-stuffing, autentificare obligatorie cu doi factori pentru toți utilizatorii și audituri anuale de securitate cibernetică.
Compania trebuie, de asemenea, să creeze și să mențină un plan de răspuns la incidentele de încălcare a datelor și să înceteze reținerea datelor personale pentru conturile inactive sau dezactivate. De asemenea, un Program actualizat de Securitate a Informațiilor va fi furnizat tuturor angajaților în cadrul sesiunilor anuale de formare.
„23andMe respinge afirmațiile și acuzațiile prezentate în Plângere, respinge că nu a reușit să-și protejeze corespunzător Informațiile Personale ale consumatorilor și utilizatorilor săi și mai respinge viabilitatea pretențiilor Reprezentanților clasei de soluționare pentru daune de tip statutar”, a declarat compania în acordul preliminar depus.
„23andMe neagă orice faptă ilegală și acest Acord nu va fi în niciun caz interpretat sau considerat a fi o dovadă sau o admitere sau o recunoaștere din partea 23andMe cu privire la orice pretenție a oricărei culpabilități sau responsabilități sau fapte ilegale sau daune de orice fel.”
Acest acord abordează acuzațiile conform cărora compania de testare genetică nu a reușit să protejeze intimitatea utilizatorilor și a neglijat să informeze clienții că hackerii i-au vizat în mod specific și că informațiile lor au fost oferite spre vânzare pe dark web.
În octombrie 2023, 23andMe a dezvăluit că accesul neautorizat la profilurile clienților a avut loc prin conturi compromise. Hackerii au exploatat informațiile de autentificare furate din alte încălcări pentru a accesa conturile 23andMe.
După descoperirea încălcării, compania a luat măsuri pentru a bloca incidente similare, inclusiv cererea clienților de a-și reseta parolele și activarea autentificării cu doi factori implicită începând din noiembrie.
Începând cu luna octombrie, actorii de amenințare au scurs profile de date aparținând a 4,1 milioane de persoane din Regatul Unit și a 1 milion de evrei ashkenazi pe subredditul neoficial 23andMe și pe forumuri de hacking precum BreachForums.
23andMe a declarat pentru BleepingComputer în decembrie că datele pentru 6,9 milioane de clienți, inclusiv informații despre 6,4 milioane de rezidenți din SUA, au fost descărcate în urma încălcării.
În ianuarie, compania a confirmat, de asemenea, că atacatorii au furat rapoarte de sănătate și date genotipice brute în urma unui atac de tip credential-stuffing de cinci luni, din aprilie până în septembrie.
Încălcarea datelor a dus la mai multe procese de acțiune colectivă, determinând 23andMe să-și modifice Termenii de Utilizare în noiembrie 2023, o mișcare criticată de clienți. Compania a clarificat ulterior că modificările au avut ca scop simplificarea procesului de arbitraj.
Verizon va plăti 16 milioane de dolari în urma unui acord de soluționare a încălcării datelor TracFone
RansomHub pretinde atacul cibernetic Kawasaki, amenință să scurgă datele furate
Fortinet confirmă încălcarea datelor după ce un hacker pretinde că a furat 440 GB de fișiere
Transport for London confirmă că datele clienților au fost furate într-un atac cibernetic
Gigantul în închiriere auto Avis a fost afectat de o încălcare a datelor care a afectat peste 299.000 de clienți
Leave a Reply