O procurador-geral da Califórnia, Rob Bonta, entrou com uma ação judicial contra a 23andMe, agora Chrome Holding Co., por falhar na proteção de informações genéticas e pessoais sensíveis de seus clientes.
A proteção inadequada levou a uma violação de dados de grande repercussão em 2023, que expôs informações sensíveis de quase 7 milhões de clientes, incluindo 855.541 californianos.
O caso veio à tona em outubro daquele ano, depois que threat actors passaram a oferecer para venda um grande volume de registros roubados da 23andMe e divulgaram amostras dos dados, e depois partes maiores do conjunto de dados, para comprovar a autenticidade das informações.
A empresa, sediada na Califórnia, confirmou que os dados vazados eram legítimos e afirmou que eles haviam sido obtidos por meio de um ataque de credential stuffing contra contas com credenciais fracas.
Pouco depois, ficou claro que os invasores haviam exfiltrado dados de usuários que aderiram ao recurso “DNA Relatives” da plataforma e, em seguida, acessado um segundo conjunto, muito maior, de contas que não utilizavam essa função.
No total, o incidente expôs dados de cerca de 6,9 milhões de clientes, incluindo informações genéticas, predisposição a doenças, ancestralidade e etnia, parentes biológicos e correspondências de DNA.
No fim de 2023, a empresa já enfrentava várias ações judiciais.
No início de 2024, autoridades nacionais de proteção de dados abriram investigações que acabaram resultando em multas de vários milhões de dólares, levando a companhia a pedir recuperação judicial.
Na nova ação, o procurador-geral Rob Bonta afirma que a 23andMe não implementou salvaguardas razoáveis contra ataques de credential stuffing, perdeu várias oportunidades de detectar a invasão e não identificou um erro de programação no DNA Relatives que desencadeou a ampla violação.
Além das falhas de proteção de dados, Bonta também destaca as declarações públicas enganosas feitas pela 23andMe antes e depois do incidente.
Antes da violação, a empresa afirmou que sua segurança atendia a padrões elevados.
Após o caso, tentou minimizar a gravidade do ocorrido, sugerindo que os dados expostos eram em grande parte públicos, e culpou os clientes pelo reuso de senhas, alegando que seus sistemas não haviam sido invadidos.
No entendimento do procurador-geral, essas condutas violaram várias leis estaduais, entre elas a California Genetic Information Privacy Act, a California Reasonable Data Security Law, a California Consumer Privacy Act (CCPA), a False Advertising Law e a Unfair Competition Law.
A ação pede uma liminar para impedir novas violações dessas normas, além da aplicação de multas estatutárias de US$ 1.000 a US$ 7.500 por infração, dependendo do caso.
O comunicado do procurador-geral observa ainda que a disputa de recuperação judicial envolvendo a proposta de venda dos dados genéticos e dos materiais biológicos de californianos é um processo separado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...