Autoritățile de protecție a datelor din Canada și Regatul Unit au lansat o anchetă comună pentru a evalua amploarea informațiilor sensibile ale clienților expuse în urma încălcării datelor 23andMe din anul trecut.
Comisarul pentru protecția datelor din Canada și Biroul Comisarului pentru Informații (ICO) vor investiga, de asemenea, dacă compania avea măsuri de protecție adecvate pentru securizarea datelor clienților stocate în sistemele sale.
Ancheta comună va examina, de asemenea, dacă 23andMe a alertat persoanele afectate și autoritățile de protecție a datelor conform legilor privind confidențialitatea și protecția datelor din Canada și Regatul Unit.
„În mâinile greșite, informațiile genetice ale unei persoane ar putea fi folosite în scopuri de supraveghere sau discriminare. Asigurarea faptului că informațiile personale sunt adecvat protejate împotriva atacurilor de către actori răuvoitori reprezintă un punct important de interes pentru autoritățile de protecție a datelor din Canada și din întreaga lume”, a declarat Comisarul pentru protecția datelor din Canada, Philippe Dufresne.
„Oamenii trebuie să aibă încredere că orice organizație care gestionează cele mai sensibile informații personale ale lor are măsurile de securitate și protecție adecvate”, a adăugat Comisarul pentru Informații al Regatului Unit, John Edwards.
„Această încălcare a datelor a avut un impact internațional, iar așteptăm cu nerăbdare să colaborăm cu omologii noștri canadieni pentru a asigura protecția informațiilor personale ale oamenilor din Regatul Unit”.
În luna ianuarie, furnizorul de teste genetice 23andMe a confirmat că atacatorii au furat rapoarte de sănătate și date brute de genotip ale clienților afectați într-un atac de umplere a datelor de autentificare desfășurat pe parcursul a cinci luni, între 29 aprilie și 27 septembrie.
Atacatorii au folosit date de autentificare furate din alte încălcări de date sau platforme online compromise pentru a sparge conturile 23andMe.
Odată ce atacul a fost detectat la 10 octombrie, 23andMe a început să solicite tuturor clienților să-și reseteze parolele. Din 6 noiembrie, autentificarea în doi pași a fost activată în mod implicit pentru toți clienții noi și existenți.
Compania a dezvăluit în scrisorile de notificare a încălcării datelor trimise persoanelor afectate că unele date furate au fost postate pe forumul de hacking BreachForums și pe subredditul neoficial 23andMe.
Informațiile divulgate includeau date despre 4,1 milioane de persoane din Regatul Unit și 1 milion de evrei ashkenazi.
23andMe a declarat pentru BleepingComputer în decembrie că actorii amenințării au descărcat date pentru 6,9 milioane din cei 14 milioane de clienți după ce au spart aproximativ 14.000 de conturi de utilizator.
Aproximativ 5,5 milioane de persoane și-au avut datele preluate prin funcția de Rude ADN și 1,4 milioane prin funcția de Arbore Genealogic.
Datorită incidentului, au fost depuse mai multe procese împotriva 23andMe, determinând compania să-și actualizeze Termenii de Utilizare la 30 noiembrie pentru a face mai dificil pentru clienți să participe la acțiuni colective.
Cu toate acestea, 23andMe a declarat că modificările au fost făcute pentru a face procesul de arbitraj mai eficient și mai accesibil pentru clienți pentru a înțelege mai bine.
Leave a Reply