A Califórnia moveu uma ação contra a antiga estrutura da empresa de testes de DNA 23andMe por supostas falhas de segurança e declarações enganosas relacionadas à violação de dados ocorrida em 2023.
Em 27 de maio de 2026, o procurador-geral Rob Bonta entrou com uma ação no Tribunal Superior de São Francisco contra Chrome Co., empresa que atualmente administra os ativos remanescentes da 23andMe após sua falência.
A denúncia da Califórnia acusa a 23andMe de não ter implementado medidas de segurança razoáveis para proteger dados confidenciais e alega violações de várias leis estaduais de privacidade e proteção ao consumidor. Além disso, acusa a empresa de fazer declarações enganosas sobre suas práticas de segurança.
A violação de 2023 utilizou táticas tradicionais de "credential stuffing" contra a página de login da 23andMe. Os invasores permaneceram nos sistemas por cerca de cinco meses sem que ninguém percebesse. O dano direto foi modesto, afetando cerca de 14 mil contas, mas isso foi o suficiente para que os invasores roubassem os dados de pouco menos de sete milhões de clientes.
Os invasores acessaram essas contas por meio do “Parentes de DNA”, o principal recurso da plataforma, que permitia às pessoas identificar com quem estavam relacionadas com base na semelhança de DNA. A ação judicial alega que um erro crítico de programação nesse recurso permitiu que os criminosos extraíssem dados de milhões de outros usuários ligados por laços de parentesco biológico.
A defesa que culpava a vítima serviu de prova
Depois que a violação veio a público, a 23andMe enviou aos representantes legais das vítimas uma carta culpando os usuários por reutilizarem senhas de sites que já haviam sido comprometidos anteriormente. A empresa sugeriu que os dados expostos haviam sido compartilhados por vontade própria dos usuários e que não causariam “prejuízo financeiro”.
No entanto, os danos decorrentes do roubo de dados genéticos vão muito além das perdas financeiras. As informações genéticas roubadas permitiram que os ladrões determinassem as origens genéticas de uma pessoa.
Segundo relatos, os dados foram colocados à venda na dark web com essas informações como argumento de venda, permitindo que os vendedores oferecessem registros de clientes asiático-americanos e das ilhas do Pacífico (AAPI) ou judeus, por exemplo. O gabinete de Bonta destacou que a violência antissemita estava em ascensão naquela época.
Apesar da tentativa da carta de culpar os usuários, apenas cerca de 14 mil contas foram diretamente comprometidas devido à reutilização de senhas. O restante dos dados teria sido exposto por meio do próprio produto da 23andMe. De acordo com a denúncia, o erro de programação no DNA Relatives expôs os dados de qualquer pessoa que tivesse aderido ao serviço, e não apenas aqueles vinculados às 14 mil contas comprometidas.
O Estado pode pedir indenização?
A Califórnia está solicitando multas legais que variam de US$ 1.000 a US$ 7.500 por infração. Com 855.541 californianos entre os usuários afetados, os custos podem aumentar rapidamente.
A questão é quanto o Estado irá receber caso vença o processo. A 23andMe entrou com um pedido de recuperação judicial (Capítulo 11) em março de 2025 e, em seguida, vendeu a maior parte de seus ativos, incluindo os dados genômicos de mais de 15 milhões de clientes, ao TTAM Research Institute, uma organização sem fins lucrativos fundada pela ex-CEO da 23andMe, Anne Wojcicki. A Califórnia e vários outros estados se opuseram à venda com base Privacy de Informações Genéticas, mas um juiz federal de falências aprovou a transação. Os estados estão agora recorrendo dessa decisão.
Chrome Co., a estrutura corporativa que resta da 23andMe, recebeu US$ 305 milhões com essa venda. Mas outros já estão se apropriando do que restou.
Outros órgãos reguladores já tomaram suas medidas. O Gabinete do Comissário de Informação do Reino Unidomultou a 23andMe em 2,31 milhões de libras em junho do ano passado, após uma investigação conjunta com o Privacy do Canadá. Um tribunal federal aprovou inicialmente um acordo coletivo no valor de 30 milhões de dólares, abrangendo a maioria das reclamações de clientes nos Estados Unidos. Esse acordo chegou posteriormente a 50 milhões de dólares e recebeu aprovação definitiva em janeiro de 2026.
O que os clientes podem fazer
Se você fez o teste com a 23andMe, as medidas padrão de segurança em caso de violação continuam válidas. Redefina todas as senhas que você reutilizou em outros sites e ative a autenticação multifatorial sempre que for possível. O ataque de preenchimento de credenciais só funciona com nomes de usuário e senhas que já tenham sido expostos em outros lugares. Fique atento também a ataques de phishing que mencionem a 23andMe ou a própria violação. E talvez seja bom avaliar os benefícios de usar serviços de testes de DNA em relação aos riscos de segurança.
Porque há um aspecto dessa questão que nenhuma multa nem acordo pode resolver: dados genéticos roubados e vendidos na dark web não podem ser recuperados. Senhas podem ser alteradas. O DNA, não.
Navegue como se ninguém estivesse olhando.
VPN Malwarebytes Privacy VPN sua conexão e nunca registra o que você faz, para que a próxima notícia que você ler não pareça algo pessoal.Experimente gratuitamente →
