O fornecedor de testes genéticos 23andMe enfrenta múltiplos processos coletivos nos EUA após uma grande violação de dados que se acredita ter impactado milhões de seus clientes.
No final do mês passado, um ator de ameaça vazou dados de clientes da 23andMe em um arquivo CSV chamado 'Dados do DNA Ashkenazi de Celebridades.csv' em fóruns de hackers.
O arquivo supostamente continha os dados de quase 1 milhão de judeus Ashkenazi que usaram os serviços 23andMe para descobrir informações sobre suas origens, predisposições genéticas e mais.
Os dados no arquivo CSV continham informações sobre IDs de conta de usuários 23andMe, nomes completos, sexo, data de nascimento, perfis de DNA, local e detalhes da região.
Na semana passada, o hacker original decidiu retratar a postagem e começou a vender perfis de dados roubados da 23andMe.
No entanto, outros atores de ameaça continuaram a compartilhar o vazamento original da 23andMe em comunidades e fóruns de cibercrime.
Em resposta a um questionamento, a 23andMe disse ao BleepingComputer que os hackers acessaram sua plataforma através de ataques de preenchimento de credenciais em contas fracamente protegidas.
No entanto, eles refutaram as alegações de uma violação direta de segurança em seus sistemas.
Um porta-voz da 23andMe explicou que os invasores inicialmente obtiveram acesso não autorizado a um pequeno número de contas, mas acabaram extraindo os dados de um maior número não definido de clientes devido ao fato de terem ativado um recurso opcional chamado 'DNA Relatives', que conecta parentes genéticos.
Após a publicação do nosso relatório, a 23andMe postou um anúncio em seu site prometendo informar individualmente os clientes impactados e mantê-los atualizados sobre os resultados da investigação em andamento realizada com a ajuda de especialistas terceirizados e autoridades policiais.
Apesar dos membros da plataforma terem ativado voluntariamente o recurso opt-in, nem todos aceitam que o risco envolvido no compartilhamento interno de dados deveria isentar a empresa de sua responsabilidade de colocar camadas de proteção.
Neste caso, muitas pessoas que seguiram as práticas de segurança adequadas ao habilitar a autenticação de dois fatores em suas contas e utilizando uma senha forte e única ainda se viram expostas e seus dados sensíveis divulgados em fóruns de cibercrime.
Pelo menos quatro queixas coletivas foram submetidas na Califórnia (Santana, Eden, Andrizzi, Lamons) buscando reparação pelos danos causados pela falha da 23andMe em proteger seus dados.
Os processos destacam a falta de informações no anúncio oficial da empresa sobre o evento de segurança, o estado atual da segurança dos dados do cliente, a duração da violação da rede, e o exato mecanismo do ciberataque.
Além disso, criticam a 23andMe por não ter implementado medidas de segurança adequadas que ajudariam a monitorar a rede para detectar atividades anormais e potencialmente tomar medidas para interromper a invasão mais cedo.
As ações legais enfatizam que a 23andMe, uma empresa que gerencia dados médicos sensíveis, deveria ter plena consciência das elevadas ameaças de cibersegurança, dado o número considerável de violações de alto perfil na indústria, destacando o alto valor de tais dados.
Os demandantes solicitam várias compensações financeiras contra a 23andMe, incluindo restituição, monitoramento de crédito pelo resto da vida, danos reais, compensatórios, e estatutários e penalidades, danos punitivos, e cobertura das taxas de advogado.
Uma das queixas define os danos nominais em $1,000 e danos punitivos em $3,000 por membro do processo coletivo, além de vários outros pedidos de indemnização.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...