Аналитика ИБ: новости и статистика утечек информации в мире
АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

20 июня 2025

Штраф компании по генетическому тестированию за утечку данных

Компания 23andMe оштрафована за утечку данных пользователей. Наказание за утечку данных назначено британским информационным регулятором, так как в ходе инцидента была скомпрометирована информация граждан Великобритании. Штраф за утечку данных выписан на фоне банкротства и продажи 23andMe.

Британское управление комиссара по информации (ICO) в понедельник, 16 июня, оштрафовало американскую биотехнологическую компанию 23andMe на 2,31 млн фунтов стерлингов (примерно 3,1 млн долларов США). 

Штраф назначен в результате масштабной утечки данных, случившейся в 2023 году. В результате инцидента злоумышленники завладели персональными данными около 6,9 млн пользователей, включая примерно 155 тыс. граждан Великобритании. Известно, что в октябре 2023 г. хакеры запустили атаку с использованием подстановки учетных данных (credential stuffing). Используя имена пользователей и пароли, полученные в результате других инцидентов, не связанных между собой, киберпреступники смогли получить доступ примерно к 14 тысячам учетных записей сервиса 23andMe. Используя функцию «Родственники по ДНК», хакеры получили информацию о 5,5 млн профилей. Также они завладели данными 1,4 млн участников программы «Семейное древо».

ICO заявило, что 23andMe не реализовала базовые меры безопасности, в результате чего уязвимой для кибератак оказалась конфиденциальная информация пользователей, включая отчеты о состоянии здоровья, сведения о расовой и этнической идентичности, изображения профилей и семейные истории.

Хотя в ходе инцидента не были скомпрометированы данные ДНК-тестирования, утекшая информация, согласно законодательству Великобритании, включала данные особой категории.

«Как отметил один из пострадавших: если такая информация становится доступной, ее нельзя изменить или перевыпустить, в отличие от пароля или номера кредитной карты», — резюмировал комиссар по информации Джон Эдвардс (John Edwards).

Расследование ICO, проведенное параллельно с Управлением комиссара по вопросам конфиденциальности Канады (OPC), показало, что 23andMe нарушила закон Великобритании о защите данных, не внедрив многофакторную аутентификацию (MFA), реализуя слабую политику парольной защиты и недостаточно контролируя загрузку необработанных генетических данных.

Штраф наложен в то время, когда компания 23andMe переживает процедуру банкротства и готовится к продаже своего бизнеса. Недавно стало известно, что активы компании за 305 млн долларов готова выкупить некоммерческая биотехнологическая организация TTAM Research Institute во главе с бывшим гендиректором 23andMe Энн Войчицки (Anne Wojcicki). Как заявляют представители 23andMe, сделка с TTAM включает обязательства по укреплению конфиденциальности и защиты данных, поднятые регулирующими органами Великобритании и Канады.

Между тем, 23andMe утверждает, что к концу 2024 году реализовала все меры безопасности, которые были рекомендованы со стороны ICO и OPC.

ICO заявила, что штраф, выписанный компании 23andMe, должен стать сигналом для всему сектору. 

«Это решение подчеркивает необходимость надежных процессов аутентификации и проверки данных, — добавил Эдвардс. — Организации, обрабатывающие конфиденциальные данные, должны делать больше, чем просто утвержденный минимум мероприятий для их защиты».

Поскольку стандарты безопасности данных ужесточаются во всем мире, а доверие потребителей продолжает падать из-за череды громких инцидентов, компании, занимающиеся персональным генетическим тестированием, могут столкнуться с более пристальным вниманием к тому, как они управляют данными на стыке вопросов науки, коммерциализации и конфиденциальности.

Напомним, что осенью 2024 г. компания 23andMe сообщила о том, что урегулировала требования по судебным искам в результате утечки данных. Компания заявила, что выплатит пострадавшим пользователям в общей сложности 30 млн долларов.

Источник: Business Matters

Подпишитесь на рассылку
Получайте новости, дайджесты и анонсы от InfoWatch каждый день
Подписаться на рассылку
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>