23andMe сообщила пострадавшим, что они сами виноваты в том, что их данные были взломаны

Частная биотехнологическая компания 23andMe столкнулась с более чем 30 исками от людей, пострадавших от массовой утечки данных. Однако компания не признает свою вину и перекладывает ее на самих жертв, пытаясь снять с себя любую ответственность, говорится в письме, с которым ознакомился TechCrunch.

«Вместо того, чтобы признать свою роль в этой катастрофе с безопасностью данных, 23andMe, очевидно, решила оставить своих клиентов в стороне, преуменьшая серьезность этих событий», — сказал Хасан Заварей, один из адвокатов, представляющих пострадавших, получивших письмо от 23andMe.

В декабре компания 23andMe признала, что хакеры украли генетические данные и данные о происхождении почти 7 млн пользователей, что является почти половиной всех ее клиентов. Утечка данных началась с того, что хакеры получили доступ всего к 14 тыс. учетных записей пользователей. Когда произошел первый взлом, компания предположила, что это может быть вызвано тем, что при повторной регистрации клиенты используют те же пароли, которые уже были взломаны.

После взлома 14 тыс. данных, хакеры смогли получить доступ к личной информации остальных 6,9 млн жертв, поскольку они включили функцию DNA Relatives 23andMe. Эта дополнительная функция позволяет клиентам автоматически делиться некоторыми своими данными с людьми, которые на платформе.

Но в письме, отправленном группе из сотен пользователей 23andMe, которые сейчас подают в суд на компанию, говорится, что «пользователи небрежно отнеслись к изменению паролей или не обновили свои пароли после этих прошлых инцидентов безопасности, которые не связаны с 23andMe. Следовательно, инцидент не стал результатом предполагаемой неспособности 23andMe обеспечить разумные меры безопасности».

«23andMe знала или должна была знать, что многие пользователи повторно используют свои пароли, и поэтому 23andMe должна была внедрить некоторые из многих доступных мер защиты от подбора учетных данных, особенно учитывая, что 23andMe хранит на своей платформе личную идентификационную информацию, медицинскую информацию и генетическую информацию. Нарушение затронуло миллионы потребителей, чьи данные были раскрыты через функцию DNA Relatives на платформе 23andMe, а не потому, что они использовали переработанные пароли. Из этих миллионов только несколько тысяч учетных записей были скомпрометированы из-за подтасовки учетных данных. Попытка 23andMe уклониться от ответственности, обвиняя своих клиентов, ничего не дает миллионам потребителей, чьи данные были скомпрометированы не по их вине», — сказал Заварей.

В ответ на письмо 23andMe Данте Термохс, клиент 23andMe, которого коснулась утечка данных, сообщил, что он находит «ужасающим то, что 23andMe пытается скрыться от последствий вместо того, чтобы помогать своим клиентам». Юристы 23andMe в свою очередь утверждали, что украденные данные не могут быть использованы для причинения денежного ущерба потерпевшим.

«Информация, к которой потенциально был получен доступ, не может быть использована во вред. Как поясняется в сообщении блога от 6 октября 2023 года, информация профиля, к которой мог быть получен доступ, связана с функцией DNA Relatives, которую клиент создает и решает поделиться с другими пользователями на платформе 23andMe. Такая информация будет доступна только в том случае, если истцы решат поделиться этой информацией с другими пользователями через функцию «ДНК-родственники. Кроме того, информация, которую потенциально получил несанкционированный субъект об истцах, не могла быть использована для причинения материального вреда (она не включала номер социального страхования, номер водительского удостоверения или какую-либо платежную или финансовую информацию)», — говорится в письме.

После раскрытия нарушения 23andMe сбросила все пароли клиентов, а затем потребовала от всех клиентов использовать многофакторную аутентификацию, которая до взлома была необязательной.

Пытаясь предотвратить массовые коллективные иски, 23andMe изменила свои условия обслуживания, чтобы пострадавшим было сложнее объединиться при подаче судебного иска против компании. Юристы, имеющие опыт представления интересов жертв утечки данных, рассказали, что изменения были «циничными», «корыстными» и «отчаянной попыткой» защитить себя и удержать клиентов от преследования компании.

До этого Inc. опубликовал топ-20 паролей, которые хакеры могут взломать за секунду. Первое место заняла комбинация из шести цифр «123456» — этот пароль можно взломать за 1 секунду, при этом его используют 4 524 867 пользователей.