وافقت شركة اختبار الحمض النووي العملاقة 23andMe على دفع 30 مليون دولار لتسوية دعوى قضائية بشأن خرق البيانات الذي كشف عن المعلومات الشخصية لـ 6.4 مليون عميل في عام 2023.
ال”https://storage.courtlistener.com/recap/gov.uscourts.cand.428003/gov.uscourts.cand.428003.103.2.pdf” الهدف=”_blank” rel=”nofollow noopener”>اقتراح تسوية الدعوى الجماعيةوتتضمن الدعوى القضائية التي رفعت يوم الخميس في محكمة فيدرالية في سان فرانسيسكو وتنتظر الموافقة القضائية، مدفوعات نقدية للعملاء المتضررين، والتي سيتم توزيعها في غضون عشرة أيام من الموافقة النهائية.
“23andMe believes the settlement is fair, adequate, and reasonable,” وقالت الشركة في”https://storage.courtlistener.com/recap/gov.uscourts.cand.428003/gov.uscourts.cand.428003.105.0.pdf” الهدف=”_blank” rel=”nofollow noopener”>مذكرة قدمت يوم الجمعة.
ووافقت شركة 23andMe أيضًا على تعزيز بروتوكولاتها الأمنية، بما في ذلك الحماية ضد هجمات ملء بيانات الاعتماد، والمصادقة الثنائية الإلزامية لجميع المستخدمين، وعمليات التدقيق السنوية للأمن السيبراني.
كما يتعين على الشركة إنشاء خطة استجابة لحوادث خرق البيانات والحفاظ عليها والتوقف عن الاحتفاظ بالبيانات الشخصية للحسابات غير النشطة أو المعطلة. كما سيتم توفير برنامج أمان معلوماتي محدث لجميع الموظفين خلال جلسات التدريب السنوية.
“23andMe denies the claims and allegations set forth in the Complaint, denies that it failed to properly protect the Personal Information of its consumers and users, and further denies the viability of Settlement Class Representatives’ claims for statutory damages,” وقالت الشركة في التسوية الأولية المقدمة:
“23andMe denies any wrongdoing whatsoever, and this Agreement shall in no event be construed or deemed to be evidence of or an admission or concession on the part of 23andMe with respect to any claim of any fault or liability or wrongdoing or damage whatsoever.”
تتناول هذه التسوية ادعاءات مفادها أن شركة الاختبارات الجينية فشلت في حماية خصوصية المستخدمين وتجاهلت إبلاغ العملاء بأن المتسللين استهدفوهم على وجه التحديد وأن معلوماتهم عُرضت للبيع على الويب المظلم.
سرقة البيانات بعد هجوم ملء بيانات الاعتماد
في أكتوبر 2023، 23andMe”https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/” الهدف=”_blank”>كشفت أن الوصول غير المصرح به إلى ملفات تعريف العملاء حدث من خلال حسابات مخترقة. استغل المتسللون بيانات الاعتماد المسروقة من خروقات أخرى للوصول إلى حسابات 23andMe.
بعد اكتشاف الاختراق، نفذت الشركة تدابير لمنع وقوع حوادث مماثلة، بما في ذلك مطالبة العملاء بـ”http://blog.23andme.com/articles/addressing-data-security-concerns” الهدف=”_blank” rel=”nofollow noopener”>إعادة تعيين كلمات المرور و”https://blog.23andme.com/articles/enhanced-customer-security-at-23andme-with-2-step-verification” الهدف=”_blank” rel=”nofollow noopener”>تمكين المصادقة الثنائية بشكل افتراضي ابتداءً من شهر نوفمبر.
ابتداءً من شهر أكتوبر، سرب الجناة ملفات تعريف البيانات الخاصة بـ”https://www.bleepingcomputer.com/news/security/hacker-leaks-millions-of-new-23andme-genetic-data-profiles/” الهدف=”_blank”>4.1 مليون فرد في المملكة المتحدة و”https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/” الهدف=”_blank”>1 مليون يهودي أشكنازيعلى منتدى 23andMe غير الرسمي ومنتديات القرصنة مثل BreachForums.
أخبرت شركة 23andMe موقع BleepingComputer في ديسمبر/كانون الأول أن بيانات 6.9 مليون عميل، بما في ذلك معلومات عن 6.4 مليون مقيم في الولايات المتحدة، تم تنزيلها في الاختراق.
وفي يناير، أعلنت الشركة أيضًا”https://www.bleepingcomputer.com/news/security/23andme-data-breach-hackers-stole-raw-genotype-data-health-reports/” الهدف=”_blank”>تم التأكيد أن المهاجمين سرقوا تقارير صحية وبيانات جينية خام خلال هجوم دام خمسة أشهر من أبريل إلى سبتمبر.
خرق البيانات”https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/” الهدف=”_blank”> أدى إلى دعاوى قضائية جماعية متعددة، مما دفع 23andMe إلى”https://www.bleepingcomputer.com/news/security/23andme-updates-user-agreement-to-prevent-data-breach-lawsuits/” الهدف=”_blank”> تعديل شروط الاستخدام في نوفمبر 2023، وهي الخطوة التي انتقدها العملاء. وأوضحت الشركة لاحقًا أن التغييرات تهدف إلى تبسيط عملية التحكيم.