L’Information Commissioner’s Office (ICO) del Regno Unito ha inflitto una sanzione di 2,31 milioni di sterline a 23andMe per non aver protetto adeguatamente i dati genetici degli utenti britannici. L’azienda californiana, recentemente tornata sotto il controllo dell’ex CEO Anne Wojcicki, ha subito un data breach nel 2023, non rilevato per quasi cinque mesi.
Violazione della privacy
Come ricorda l’autorità del Regno Unito, un cybercriminale ha rubato i dati genetici di di circa 6,9 milioni di utenti, sfruttando le funzionalità DNA Relatives e Family Tree del servizio. L’intrusione è avvenuta tramite un attacco di credential stuffing (credenziali pubblicate online e usate dagli utenti su altri servizi).
Il data breach è durato dal 29 aprile al 27 settembre 2023, quindi 23andMe non ha rilevato nulla per quasi cinque mesi. I dati di circa 4,1 milioni di utenti che vivono in Germania e Regno Unito sono stati messi in vendita sul noto BreachForums.
Il garante britannico scrive che l’accesso ai dati di 155.592 residenti è stato facilitato dall’assenza di misure aggiuntive per proteggere gli account. Il riferimento è all’autenticazione in due fattori che 23andMe ha aggiunto come impostazione predefinita solo dopo il data breach.
L’azienda ha violato la legge britannica sulla protezione dei dati non implementando misure di autenticazione e verifica adeguate, come l’autenticazione multi-fattore obbligatoria. Inoltre non ha implementato controlli adeguati sull’accesso ai dati genetici grezzi e non disponeva di sistemi efficaci per monitorare, rilevare o rispondere alle minacce informatiche che colpiscono le informazioni sensibili dei propri clienti.
Sotto accusa anche la lentezza con la quale 23andMe ha risposto all’incidente. L’autorità britannica ha quindi inflitto una sanzione di 2,31 milioni di sterline. La somma dovrà essere pagata dal nuovo proprietario, ovvero il TTAM Research Institute fondato da Anne Wojcicki.
Ti potrebbe interessare
17 giu 2025