23andMe расплачивается за легкомыслие в вопросах кибербезопасности

Управление комиссара по информации (ICO) наложило на калифорнийскую компанию штраф в размере £2,31 миллиона ($3,13 миллиона). Это следствие кибератаки 2023 года, в ходе которой была похищена личная информация миллионов клиентов 23andMe по всему миру. ICO сообщило, что штраф наложен после расследования, выявившего несанкционированный доступ хакера к личным данным 155 592 жителей Великобритании, включая имена, годы рождения, самостоятельно указанные города или почтовые индексы, изображения профилей, расу, этническую принадлежность, генеалогические древа и отчеты о здоровье.

По мнению регулятора, американская компания не внедрила должные дополнительные шаги верификации для доступа и скачивания данных пользователей.

«23andMe не приняла базовых мер для защиты информации», — заявил информационный комиссар Великобритании Джон Эдвардс, уточнив, что компания нарушила британское законодательство о защите данных, не внедрив надлежащие меры аутентификации и верификации, такие как обязательная двухфакторная аутентификация, безопасные протоколы создания логинов и паролей. По словам Эдвардса, системы безопасности 23andMe «были неадекватными, а реакция компании — медленной».

Расследование ICO проводилось в сотрудничестве с Управлением по вопросам конфиденциальности Канады. Согласно выводам следователей, хакер использовал технику «credential stuffing» — попытки использования имен пользователей и паролей, похищенных из других утечек данных или купленных в даркнете.

По статистике специалистов по кибербезопасности, примерно две трети людей повторно используют пароли — в среднем для пяти аккаунтов, — а каждый пятый имеет одинаковые учетные данные для десяти или более аккаунтов.