Расследование показало, что 23andMe «не предприняла элементарных мер» по защите личной информации
Компания 23andMe, проводящая ДНК-тесты, не обеспечила адекватной защиты данных и проигнорировала предупреждающие сигналы перед масштабной утечкой данных почти два года назад, как показало расследование, проведенное канадским комиссаром по вопросам конфиденциальности.
Комиссар Филипп Дюфрен сообщил журналистам, что в 2023 году, когда хакеры получили доступ примерно к 6,9 миллионам профилей на сайте — почти половине его клиентской базы, — не было надлежащих мер защиты.
«Эта утечка служит предостережением для всех организаций относительно важности защиты данных», — заявил Дюфрен на пресс-конференции во вторник.
«Поскольку масштаб и сложность утечек данных растут, а число атак с использованием программ-вымогателей и вредоносного ПО резко увеличивается, любая организация, которая не принимает мер по обеспечению приоритетной защиты данных и устранению этих угроз, становится все более уязвимой».
Профили клиентов содержали деликатные персональные данные, включая год рождения, географическое положение, информацию о здоровье и процент ДНК, которой пользователи делятся со своими родственниками. Дюфрен сказал, что часть украденной информации позже продавалась в Интернете.
Расследование было начато в прошлом году совместно с комиссаром Великобритании по информации Джоном Эдвардсом.
«23andMe не предприняла элементарных мер по защите информации людей, их системы безопасности были неадекватны, предупреждающие сигналы были налицо, а компания отреагировала медленно», — сказал Эдвардс.
Как и другие компании, занимающиеся генетическим тестированием, 23andMe использует образцы слюны для составления отчетов о происхождении клиента, а также о потенциальной предрасположенности к определенным заболеваниям.
По словам комиссаров, от утечки данных в 2023 году пострадали около 320 000 канадцев и 150 000 человек в Великобритании.
Эдвардс сообщил, что Великобритания наложила на компанию из Сан-Франциско штраф в размере 4,2 млн долларов за утечку данных, однако Дюфренс заявил, что у него нет полномочий налагать на компанию денежные штрафы.
«[Полномочия налагать штрафы на компании] широко распространены во всем мире среди органов по защите конфиденциальности, и это необходимо. К сожалению, канадское законодательство о защите конфиденциальности пока мне этого не предоставляет», — сказал Дюфренс.
В прошлом предлагались правовые изменения , которые давали бы комиссару по вопросам конфиденциальности полномочия налагать штрафы, но они так и не были приняты. Дюфренс сказал, что он надеется, что новый парламент вскоре снова предложит изменения.
Ранее в этом году 23andMe подала заявление о банкротстве и объявила, что будет распродавать свои активы, что означает, что данные клиентов могут быть «доступны, проданы или переданы». Однако компания заявила, что процесс банкротства не повлияет на то, как она хранит, управляет или защищает данные клиентов.
Дюфрен и Эдвардс заявили, что ожидают от компании адекватной защиты данных пользователей во время любой продажи.
«Мы будем внимательно за этим следить… обязательства [по соблюдению конфиденциальности] должны по-прежнему применяться к любому новому владельцу», — сказал Дюфрен.
cbc.ca
