JK ir Kanados duomenų sargai ištirs genetinių tyrimų įmonę 23andMe dėl duomenų pažeidimo 2023 metų spalio mėnesį.
Įsilaužėliai gavo prieigą prie 6,9 milijono žmonių asmeninės informacijos, kuri kai kuriais atvejais apėmė šeimos medžius, gimimo metus ir geografines vietas, naudodami senus klientų slaptažodžius.
Vienas iš dalykų, kurį jungtinė darbo grupė ištirs, yra tai, ar buvo imtasi tinkamų apsaugos priemonių tokiems duomenims apsaugoti.
„Ketiname bendradarbiauti įgyvendindami pagrįstus šių reguliuotojų prašymus“, – sakoma „23andMe“ pranešime.
Į spalį pavogtus duomenis nebuvo DNR įrašų.
23andMe yra augančios protėvių paieškos pramonės milžinas, siūlantis genetinius tyrimus iš DNR, suskirstant protėvius ir suasmenintas sveikatos įžvalgas.
Į įmonę įsilaužta nebuvo, o nusikaltėliai prisijungė prie maždaug 14 000 asmeninių paskyrų, arba 0,1 % klientų, naudodami el. pašto ir slaptažodžio informaciją, kuri anksčiau buvo atskleista kituose įsilaužimuose.
Nusikaltėliai atsisiuntė ne tik duomenis iš tų paskyrų, bet ir visų kitų vartotojų, į kuriuos jie turėjo nuorodas, privačią informaciją iš svetainės šeimos medžių.
Tuo metu „23andMe“ teigė, kad informavo paveiktus klientus ir privertė juos pakeisti slaptažodžius bei atnaujinti paskyros apsaugą.
Pasak JK informacijos komisaro biuro (ICO), 23andMe saugomi duomenys „gali atskleisti informaciją apie asmenį ir jo šeimos narius, įskaitant jų sveikatą, etninę kilmę ir biologinius ryšius“.
Teigiama, kad tai reiškia, kad visuomenei „būtina“ pasitikėti paslauga.
Atliekant bendrą duomenų priežiūros institucijų tyrimą bus nagrinėjamas įsilaužimo dydis ir galima žala naudotojams, taip pat ar buvo taikomos tinkamos apsaugos priemonės.
Taip pat bus tiriama, kaip „23andMe“ pranešė apie pažeidimą ir ar įmonė laikėsi teisingų procesų JK ir Kanadoje.
„Netinkamose rankose asmens genetinė informacija gali būti netinkamai panaudota stebėjimui ar diskriminacijai“, – sakė Kanados privatumo komisaras Philippe'as Dufresene'as.