A empresa de testes genéticos 23andMe, agora Chrome Holding Co., concordou em pagar US$ 18 milhões para encerrar acusações feitas por uma coalizão de 43 procuradores-gerais de que não protegeu os dados genéticos de seus clientes.
A 23andMe revelou um grande vazamento de dados em outubro de 2023, após ataques de credential stuffing que passaram despercebidos por cinco meses, entre abril e setembro de 2023.
Durante o incidente, os threat actors roubaram os dados de 6,9 milhões de clientes, incluindo informações sobre ancestralidade genética.
Parte desse material foi depois colocada à venda na dark web, e os atacantes divulgaram milhões de perfis genéticos como prova de que os dados eram autênticos.
A procuradora-geral de Nova York, Letitia James, afirmou nesta terça-feira que uma investigação multissetorial aberta após a divulgação do caso concluiu que a empresa não tinha proteções básicas contra ataques cibernéticos baseados em credenciais, como bloqueio de senhas ou MFA, além de limitação de taxa, prevenção de intrusão e monitoramento de detecção de violação.
Os investigadores também descobriram que a 23andMe deixou de lidar com atividades de login incomuns e de corrigir vulnerabilidades já conhecidas.
Segundo James, a empresa inicialmente negou que houvesse ocorrido um vazamento e depois culpou os clientes pelas práticas de uso de conta e senha.
O acordo impõe novos requisitos de segurança à TTAM, incluindo um conselho consultivo de segurança de dados, protocolos de análise de risco e a manutenção do direito dos consumidores de excluir seus dados.
“As empresas têm o dever de proteger as informações pessoais de seus clientes contra hackers, mas a 23andMe colocou milhões de clientes em risco com suas medidas de segurança frágeis”, afirmou James.
“Os nova-iorquinos confiaram à 23andMe seus dados genéticos, sensíveis e pessoais, apenas para descobrir que essas informações foram roubadas e colocadas à venda nos cantos mais obscuros da internet.
Como resultado da ação da coalizão, a 23andMe pagará por violar a lei e regras rígidas serão implementadas para proteger seus clientes.”
O vazamento de 2023 também gerou várias ações coletivas, levando a 23andMe a alterar seus Termos de Uso em novembro de 2023 para dificultar processos judiciais.
Na época, a empresa afirmou que as mudanças tinham como objetivo apenas simplificar o processo de arbitragem.
Em setembro de 2024, a fornecedora de testes genéticos sediada na Califórnia também concordou em pagar US$ 30 milhões para encerrar uma ação coletiva proposta relacionada ao vazamento de 2023.
A 23andMe entrou com pedido de recuperação judicial sob o Capítulo 11 em março de 2025, anunciando planos de vender seus ativos após vários anos de dificuldades financeiras, o que levou James e a coalizão a apresentar reivindicações relacionadas ao caso.
Em junho de 2025, James e outros 27 procuradores-gerais processaram a empresa para proteger os dados genéticos dos clientes durante o processo de recuperação judicial.
No mesmo mês, o Information Commissioner’s Office (ICO), do Reino Unido, multou a 23andMe em £ 2,31 milhões, cerca de US$ 3,12 milhões, por “falhas graves de segurança” que levaram ao vazamento “profundamente prejudicial” de 2023.
Quatro meses depois, em julho de 2025, o TTAM Research Institute, organização sem fins lucrativos agora registrada como 23andMe Research Institute e liderada pela cofundadora da 23andMe, Anne Wojcicki, concluiu a aquisição da gigante de testes de DNA após concordar em pagar US$ 305 milhões para comprar todos os seus ativos.
Publicidade
Vibecoding cria 10x mais sistemas, 20x mais vulneráveis. E quem ganha com isso é a galera do hacking ético e pentest. Quer ser pago para invadir sistemas? Então você tem que aprender com a Solyd que são os melhores do Brasil. Saiba mais...