Kalifornia wniosła pozew przeciwko byłej spółce fasadowej firmy zajmującej się badaniami DNA, 23andMe, w związku z domniemanymi uchybieniami w zakresie bezpieczeństwa oraz wprowadzającymi w błąd oświadczeniami dotyczącymi naruszenia bezpieczeństwa danych, do którego doszło w 2023 roku.
27 maja 2026 r. prokurator generalny Rob Bonta złożył pozew w Sądzie Najwyższym w San Francisco przeciwko Chrome Co., spółce zarządzającej obecnie pozostałymi aktywami firmy 23andMe po jej ogłoszeniu upadłości.
W pozwie wniesionym przez stan Kalifornia zarzuca się firmie 23andMe, że nie wdrożyła odpowiednich środków bezpieczeństwa w celu ochrony danych wrażliwych, a także podnosi się zarzuty naruszenia kilku stanowych przepisów dotyczących prywatności i ochrony konsumentów. Zarzuca się również firmie podawanie wprowadzających w błąd informacji na temat stosowanych przez nią praktyk w zakresie bezpieczeństwa.
W wyniku ataku z 2023 roku wykorzystano tradycyjną metodę „credential stuffing” na stronie logowania serwisu 23andMe. Atakujący działali w systemach przez około pięć miesięcy, nie wzbudzając niczyich podejrzeń. Bezpośredni wyciek danych był niewielki i dotknął około 14 000 kont, ale to wystarczyło atakującym, by wykraść dane prawie siedmiu milionów klientów.
Hakerzy uzyskali dostęp do tych kont za pośrednictwem funkcji „DNA Relatives” – głównej funkcji platformy, która pozwalała użytkownikom ustalić, z kim są spokrewnieni na podstawie podobieństwa DNA. W pozwie zarzuca się, że poważny błąd w kodzie tej funkcji umożliwił sprawcom zebranie danych od milionów innych użytkowników powiązanych więzami biologicznymi.
Linia obrony polegająca na obwinianiu ofiary stała się dowodem
Po ujawnieniu naruszenia bezpieczeństwa firma 23andMe wysłała do pełnomocników ofiar pismo, w którym obwiniała użytkowników za ponowne wykorzystywanie haseł z witryn, które wcześniej padły ofiarą ataków. Firma sugerowała, że ujawnione dane zostały udostępnione z własnej woli użytkowników i nie spowodują „szkody majątkowej”.
Szkody wynikające z kradzieży danych genetycznych wykraczają jednak daleko poza straty finansowe. Skradzione informacje genetyczne pozwoliły złodziejom ustalić pochodzenie genetyczne danej osoby.
Według doniesień dane te były oferowane do sprzedaży w dark webie, a informacja ta stanowiła główny argument sprzedażowy, umożliwiając sprzedawcom oferowanie na przykład danych dotyczących klientów pochodzenia azjatyckiego, z wysp Pacyfiku (AAPI) lub pochodzenia żydowskiego. Biuro Bonty zwróciło uwagę, że w tamtym czasie nasilały się akty przemocy na tle antysemickim.
Pomimo prób obarczenia winą użytkowników zawartych w piśmie, jedynie około 14 000 kont zostało bezpośrednio naruszonych w wyniku ponownego użycia haseł. Pozostałe dane zostały rzekomo ujawnione za pośrednictwem samego produktu firmy 23andMe. Zgodnie z treścią pozwu błąd programistyczny w aplikacji „DNA Relatives” spowodował ujawnienie danych wszystkich osób, które zdecydowały się na korzystanie z tej usługi, a nie tylko tych powiązanych z 14 000 naruszonych kont.
Czy państwo może dochodzić odszkodowania?
Kalifornia domaga się kar ustawowych w wysokości od 1 000 do 7 500 dolarów za każde naruszenie. Biorąc pod uwagę, że wśród poszkodowanych użytkowników znajduje się 855 541 mieszkańców Kalifornii, koszty mogą szybko wzrosnąć.
Pytanie brzmi, jaką część tych środków państwo odzyska, jeśli wygra sprawę. W marcu 2025 roku firma 23andMe złożyła wniosek o ogłoszenie upadłości zgodnie z rozdziałem 11, a następnie sprzedała większość swoich aktywów – w tym dane genomowe ponad 15 milionów klientów – instytutowi badawczemu TTAM, organizacji non-profit założonej przez byłą dyrektor generalną 23andMe, Anne Wojcicki. Kalifornia i kilka innych stanów sprzeciwiło się tej sprzedaży na podstawie Privacy informacji genetycznych, ale federalny sędzia ds. upadłości ją zatwierdził. Stany odwołują się obecnie od tej decyzji.
Chrome Co., firma-skorupa, która pozostała po 23andMe, uzyskała z tej sprzedaży 305 milionów dolarów. Jednak inni już zaczęli rozdzielać to, co pozostało.
Inne organy regulacyjne już podjęły odpowiednie działania. W czerwcu ubiegłego roku brytyjski Urząd Komisarza ds. Informacjinałożył na firmę 23andMe grzywnę w wysokości 2,31 mln funtów w wyniku wspólnego dochodzenia przeprowadzonego wraz z kanadyjskim Privacy . Sąd federalny początkowo zatwierdził ugodę w sprawie pozwu zbiorowego na kwotę 30 mln dolarów, obejmującą większość roszczeń klientów z USA. Kwota ta wzrosła później do 50 mln dolarów, a ostateczne zatwierdzenie ugody nastąpiło w styczniu 2026 roku.
Co mogą zrobić klienci
Jeśli korzystałeś z serwisu 23andMe, nadal obowiązują standardowe procedury bezpieczeństwa w przypadku naruszenia danych. Zmień wszystkie hasła, których używałeś również na innych stronach, i włącz uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie jest to możliwe. Ataki typu „credential stuffing” działają tylko w przypadku nazw użytkownika i haseł, które zostały już ujawnione gdzie indziej. Uważaj też na ataki phishingowe, w których pojawia się nazwa 23andMe lub sama wzmianka o naruszeniu. Być może warto też rozważyć, czy korzyści płynące z korzystania z usług badań DNA przeważają nad ryzykiem związanym z bezpieczeństwem.
Jest bowiem jedna kwestia, której nie rozwiąże żadna grzywna ani ugoda: skradzionych danych genetycznych sprzedanych w dark webie nie da się odzyskać. Hasła można zmienić. DNA – nie.
Przeglądaj, jakby nikt nie patrzył.
Malwarebytes Privacy VPN Twoje połączenie i nigdy nie rejestruje Twojej aktywności, dzięki czemu kolejna przeczytana przez Ciebie wiadomość nie będzieCię osobiście dotykać.Wypróbuj za darmo →
