Chrome Holding Co., η εταιρεία παλαιότερα γνωστή ως 23andMe αντιμετωπίζει μήνυση που υποβλήθηκε από Ο Γενικός Εισαγγελέας της Καλιφόρνια Ρομπ Μπόντα το 2023 για μια τεράστια παραβίαση ασφαλείας που έθεσε σε κίνδυνο τα ευαίσθητα δεδομένα εκατομμυρίων ανθρώπων. Η Bonta κατηγορεί την εταιρεία ότι παραπλανά τους καταναλωτές και ότι δεν προστατεύει τις «ευαίσθητες προσωπικές τους πληροφορίες και γενετικά δεδομένα που σχετίζονται με την υγεία, τη γενετική προδιάθεση και τους παράγοντες κινδύνου, τους βιολογικούς συγγενείς, την καταγωγή και την εθνικότητα». Το περιστατικό επηρέασε 7 εκατομμύρια χρήστες σε όλες τις Ηνωμένες Πολιτείες, ανέφερε η αγωγή, συμπεριλαμβανομένων 855.541 κατοίκων της Καλιφόρνια.
Η 23andMe, η οποία πρόσφερε στους πελάτες κιτ δοκιμών DNA για να τους βοηθήσει να εντοπίσουν την προγονική τους προέλευση και τους γενετικούς κινδύνους για την υγεία, παραδέχτηκε το 2023 ότι οι κακοί ηθοποιοί μπορούσαν να έχουν πρόσβαση στους λογαριασμούς των χρηστών μέσω διαπιστευτηρίων. Ο Bonta υποστήριξε ότι οι εταιρείες, ειδικά εκείνες που συλλέγουν γενετικά δεδομένα, θα πρέπει να προστατεύονται από μια τόσο κοινή μέθοδο κυβερνοεπίθεσης.
Στην περίπτωση του 23andMe, ο χάκερ προφανώς χρησιμοποίησε διαπιστευτήρια που είχαν κλαπεί σε προηγούμενες παραβιάσεις δεδομένων, συμπεριλαμβανομένης μιας επίθεσης στο MyHeritage, με το οποίο συνεργάστηκε η 23andMe. Η Bonta είπε ότι παρόλο που το 23andMe γνώριζε την παραβίαση του MyHeritage, ποτέ δεν έλεγξε ή εμπόδισε τους χρήστες να επαναχρησιμοποιήσουν τα διαπιστευτήριά τους. Αυτό είναι ιδιαίτερα αξιοσημείωτο, καθώς το 23andMe ενθαρρύνει τους χρήστες του να εγγραφούν για έναν λογαριασμό MyHeritage.
Δεν ήταν μόνο το γέμισμα διαπιστευτηρίων που επέτρεψε σε κακούς ηθοποιούς να κλέψουν εκατομμύρια προσωπικά δεδομένα. Μετά την παραβίαση 14.000 λογαριασμών χρησιμοποιώντας τη μέθοδο επίθεσης, εκμεταλλεύτηκαν μια ευπάθεια στη δυνατότητα DNA Relative του ιστότοπου για να αποκτήσουν πρόσβαση σε δεδομένα από περισσότερους πελάτες. Η Bonta είπε ότι τα μέτρα ασφαλείας της εταιρείας ήταν τόσο χαλαρά που οι χάκερ μπόρεσαν να λειτουργήσουν απαρατήρητα μέσα στα συστήματά της για πέντε μήνες. Πρόσθεσε ότι η υπηρεσία άρχισε να ερευνά αφού κακοί ηθοποιοί είχαν ήδη αρχίσει να πωλούν κλεμμένα δεδομένα χρηστών στον σκοτεινό ιστό και να ζητούν λύτρα.
Η Bonata κατηγόρησε την 23andMe ότι παρέλειψε κρίσιμες πληροφορίες όταν ειδοποιούσε τους πελάτες για την παραβίαση. Είπε ότι η εταιρεία υποβάθμισε την ευαισθησία των κλεμμένων δεδομένων και ισχυρίστηκε ότι η λειτουργία DNA Relatives ήταν «ουσιαστικά δημόσια», ενώ διαπραγματευόταν κρυφά με κακούς ηθοποιούς που υπογράμμιζαν τη συμπερίληψη πληροφοριών από την Ασία και τον Ειρηνικό, καθώς και πληροφορίες Εβραίων χρηστών στα σύνολα δεδομένων που πουλούσαν.
«Η πώληση αυτών των δεδομένων στον σκοτεινό ιστό έλαβε χώρα κατά τη διάρκεια μιας περιόδου Ασιατικής Αμερικής και Νησιωτών του Ειρηνικού και αντισημιτικού μίσους και βίας – και σαφώς επέστησε την προσοχή στη βαθιά προσωπική και ταυτιστική φύση αυτών των δεδομένων», έγραψε ο Bonta. «Είναι ανησυχητικό και απίστευτα επικίνδυνο».
Η 23andMe υπέβαλε αίτηση πτώχευσης τον Μάρτιο του 2025 Απ Αξίζει να σημειωθεί ότι αντιμετώπισε επίσης μια ομαδική αγωγή που κατηγορούσε την εταιρεία ότι απέτυχε να προστατεύσει τους πελάτες της και ένας δικαστής που επέβλεπε την πτώχευσή της ενέκρινε διακανονισμό 50 εκατομμυρίων δολαρίων νωρίτερα αυτό το έτος.
