«23andMe» сталкивается с судебным иском из-за того, что хакеры продают информацию о пользователях еврейского происхождения
Против компании по тестированию ДНК «23andMe» подан иск, в котором она обвиняется в том, что не уведомила пользователей еврейского и китайского происхождения о том, что в прошлом году они стали мишенью хакерской атаки, которая привела к утечке данных. И что информация о них была включена в списки, информация из которых продавалась в даркнете, пишет журналистка «The Times of Israel» Ариэлла Олдфилд.
В сообщении в блоге на своем сайте от 6 октября 2023 года компания сообщила об утечке данных, которая продолжалась незамеченной с мая по сентябрь 2023 года. В сообщении клиенты обвиняются в том, что они являются источником проблемы, и говорится, что хакеры получили доступ к информации, ориентируясь на пользователей, которые использовали одно и то же имя пользователя и пароль на нескольких сайтах. В обновлении блога, опубликованном несколько дней спустя, «23andMe сообщила, что расследует нарушение с помощью «сторонних судебных экспертов» и сотрудников федеральных правоохранительных органов. Расследование было завершено в декабре, и в обновлении блога был сделан вывод, что хакеры получили доступ примерно к 14000 аккаунтам, пользователи которых использовали пароли повторно.
Благодаря взломанным аккаунтам дополнительная информация была собрана с помощью функции «Семейное древо» «23andMe» и функции «ДНК – родственники», с помощью которой люди могут делиться данными с потенциальными генетическими родственниками. В обоих случаях пользователям доступны имена, местоположения и дни рождения других людей. По данным «23andMe», хакеры получили информацию о 6,9 млн аккаунтов сайта, что составляет почти половину всех клиентов компании.
Хотя компания опубликовала эту информацию в декабре и заявила, что уведомила конкретных пользователей, пострадавших от взлома, она ни разу не упомянула, что хакеры, по-видимому, специально отбирали людей с китайским или ашкеназским происхождением. Между тем, в тот же день, когда «23andMe» первоначально объявила о взломе в своем блоге, «Wired» сообщил, что данные, включая полные имена и домашние адреса, об одном миллионе человек предполагаемого еврейского происхождения были размещены на хакерской платформе обмена «Breach Forums» несколькими днями ранее. Позже хакеры также раскрыли информацию о 100000 человек китайского происхождения. В статье добавлено, что хакеры продавали информацию об определенных аккаунтах по цене от 1 до 10 долларов.
На прошлой неделе «Tech Crunch» поделился письмом, которое «23andMe» разослало пользователям, чьи данные были украдены. Компания объяснила, что ей стало известно о взломе только после того, как кто-то разместил образец украденной информации в неофициальном субреддите «23andMe» и заявил, что у него есть и другие образцы. Хотя в письме также упоминалось, что информация некоторых пользователей была размещена на «Breach Forum», оно по-прежнему не информировало затронутых пользователей о том, что информация, распространяемая в даркнете, касалась в основном евреев-ашкеназов.
На следующий день после того, когда впервые стало известно об утечке данных, ХАМАС предпринял беспрецедентную атаку на Израиль 7 октября, убив около 1200 человек, в основном гражданских лиц, на юге страны и похитив 253 человека. В ответ Израиль немедленно объявил войну ХАМАСу. После нападения и начала войны уровень антисемитизма резко возрос во всем мире: евреи стали жертвами словесных и физических оскорблений во многих странах, в том числе в США, где базируется «23andMe». Одна из жертв утечки данных и истец по иску, Дж. Л. из Флориды, рассказал «New York Times», что обнаружил, что у него были предки-ашкеназы, когда в прошлом году он делал тест ДНК в «23andMe». Он добавил, что в условиях роста антисемитизма он опасается, что информация, полученная хакерами, будет использована против него и его семьи. «Теперь, когда информация стала известна, кто-то может прийти и решить, что они выместят свое разочарование по поводу войны в Газе на мне», — заметил он «New York Times».
После утечки данных и сообщений о том, что евреи стали жертвами взлома, конгрессмен Джош Готтхаймер, демократ из Нью-Джерси, объявил 11 января, что требует от ФБР расследования утечки данных, поделившись письмом, которое он отправил директору бюро Кристоферу Рэю. «Я глубоко обеспокоен тем, что эти данные могут быть куплены гнусными субъектами, которые стремятся причинить вред евреям исключительно на основании их происхождения или религии, как в Соединенных Штатах, так и во всем мире», — написал он.
Другая причина его тревоги, по словам конгрессмена, заключается в том, что утечка данных может быть использована для того, чтобы дать ХАМАСу и его сторонникам возможность нападать на американских евреев и их семьи. «История говорит нам, что когда экстремисты угрожают геноцидом евреев, мы должны относиться к ним серьезно и предпринимать быстрые и решительные действия для предотвращения таких злодеяний», — добавил он.
По мере рассмотрения иска другие компании потенциально могут быть замешаны в утечке данных «23andMe», о чем свидетельствует августовский иск против компании по тестированию ДНК «Sequencing». Дэвид Мелвин, который также является ведущим истцом по иску 23andMe, в августе стал одним из участников коллективного иска в Иллинойсе после обвинения «Sequencing» в передаче отчетов о ДНК сторонним компаниям без согласия клиентов. Поступая таким образом, компания нарушила Закон штата Иллинойс о конфиденциальности генетической информации, который запрещает компаниям, занимающимся секвенированием ДНК, делиться информацией с любой стороной, кроме клиентов и других уполномоченных ими сторон. Одной из сторонних компаний, с которой «Sequencing» делилась отчетами о ДНК клиентов, была «23andMe».
Пока нет никаких доказательств того, что какая-либо информация, украденная у «23andMe», была получена от «Sequencing». Однако, если какие-либо данные были переданы «23andMe» как третьей стороне, вполне вероятно, что соответствующие люди не дали согласия на передачу их личной информации компании и еще не знают, что она потенциально была украдена в результате предполагаемого распространения информации «Sequencing». Если это правда, это может означать, что утечка данных «23andMe» затронула людей, которые даже не являются прямыми клиентами компании, что вызывает вопросы о масштабах проблемы.