Практично відразу після оголошення про викуп компанії своїм колишнім гендиректором Енн Войчицькі, 23andMe отримала значний штраф.
Управління комісара з інформації (ICO) наклало на каліфорнійську компанію штраф у розмірі £2,31 мільйона ($3,13 мільйона). Це наслідок кібератаки 2023 року, під час якої було викрадено особисту інформацію мільйонів клієнтів 23andMe по всьому світу. ICO повідомило, що штраф накладено після розслідування, яке виявило несанкціонований доступ хакера до особистих даних 155 592 жителів Великої Британії, таких як імена, роки народження, самостійно вказані міста чи поштові індекси, зображення профілів, расу, етнічність, генеалогічні дерева та звіти про здоров’я.
На думку регулятора, американська компанія не впровадила належні додаткові кроки верифікації для доступу та завантаження даних користувачів.
«23andMe не вжила базових заходів для захисту інформації», — заявив інформаційний комісар Великобританії Джон Едвардс, уточнивши, що компанія порушила британське законодавство про захист даних, не впровадивши належних заходів автентифікації та верифікації, таких як обов’язкова двофакторна автентифікація, безпечні протоколи створення логінів і паролів. За словами Едвардса, системи безпеки 23andMe «були неадекватними, а реакція компанії — повільною».
Розслідування ICO проводилося у співпраці з Управлінням з питань конфіденційності Канади. Згідно з висновками слідчих, хакер використав техніку «credential stuffing» — спроби використання імен користувачів і паролів, викрадених із інших витоків даних або куплених у даркнеті.
За статистикою фахівців з кібербезпеки, приблизно дві третини людей використовують паролі повторно — у середньому для п’яти акаунтів, — а кожен п’ятий має однакові облікові дані для десяти або більше акаунтів.
