A Califórnia intentou uma ação judicial contra a antiga estrutura da empresa de testes de ADN 23andMe devido a alegadas falhas de segurança e declarações enganosas relacionadas com a sua violação de dados de 2023.
Em 27 de maio de 2026, o procurador-geral Rob Bonta intentou uma ação no Tribunal Superior de São Francisco contra Chrome Co., a empresa que atualmente administra os ativos remanescentes da 23andMe na sequência da sua falência.
A queixa apresentada pela Califórnia acusa a 23andMe de não ter implementado medidas de segurança razoáveis para proteger dados sensíveis e alega violações de várias leis estaduais em matéria de privacidade e proteção do consumidor. Acusa ainda a empresa de ter feito declarações enganosas sobre as suas práticas de segurança.
A violação de 2023 utilizou táticas tradicionais de «credential stuffing» contra a página de início de sessão da 23andMe. Os atacantes operaram no interior dos sistemas durante cerca de cinco meses sem que ninguém se apercebesse. O impacto direto foi modesto, afetando cerca de 14 000 contas, mas foi o suficiente para que os atacantes roubassem os dados de pouco menos de sete milhões de clientes.
Os intrusos acederam a essas contas através do «DNA Relatives», a funcionalidade principal da plataforma, que permitia aos utilizadores determinar com quem estavam relacionados com base na semelhança do ADN. A ação judicial alega que um erro crítico de programação nessa funcionalidade permitiu aos autores do crime extrair dados de milhões de outros utilizadores ligados por laços de parentesco biológico.
A defesa que culpava a vítima tornou-se prova
Depois de a violação ter vindo a público, a 23andMe enviou aos representantes legais das vítimas uma carta em que culpava os utilizadores por reutilizarem palavras-passe de sites que já tinham sido comprometidos anteriormente. Segundo a empresa, os dados expostos tinham sido partilhados por vontade própria dos utilizadores e não causariam «prejuízos financeiros».
No entanto, os danos decorrentes do roubo de dados genéticos vão muito além das perdas financeiras. A informação genética que foi roubada permitiu aos ladrões determinar as origens genéticas de um indivíduo.
Segundo relatos, os dados foram colocados à venda na dark web com esta informação como argumento de venda, permitindo aos vendedores oferecer registos sobre clientes asiático-americanos e das ilhas do Pacífico (AAPI) ou judeus, por exemplo. O gabinete de Bonta salientou que a violência antissemita estava a aumentar naquela altura.
Apesar da tentativa da carta de culpar os utilizadores, apenas cerca de 14 000 contas foram diretamente comprometidas devido à reutilização de palavras-passe. O restante dos dados terá sido exposto através do próprio produto da 23andMe. De acordo com a queixa, o erro de programação no «DNA Relatives» expôs os dados de qualquer pessoa que tivesse aderido ao serviço, e não apenas os de quem estava associado às 14 000 contas comprometidas.
O Estado pode reclamar uma indemnização?
A Califórnia pretende aplicar coimas que variam entre 1 000 e 7 500 dólares por infração. Com 855 541 californianos entre os utilizadores afetados, os custos poderão aumentar rapidamente.
A questão é saber quanto o Estado irá receber caso vença o processo. A 23andMe entrou com um pedido de recuperação judicial (Capítulo 11) em março de 2025 e, posteriormente, vendeu a maior parte dos seus ativos, incluindo os dados genómicos de mais de 15 milhões de clientes, ao TTAM Research Institute, uma organização sem fins lucrativos fundada pela ex-CEO da 23andMe, Anne Wojcicki. A Califórnia e vários outros estados opuseram-se à venda com base Privacy da Informação Genética, mas um juiz federal de falências aprovou-a. Os estados estão agora a recorrer dessa decisão.
Chrome Co., a estrutura corporativa que resta da 23andMe, recebeu 305 milhões de dólares com essa venda. Mas outros já estão a aproveitar o que restou.
Outras entidades reguladoras já tomaram as suas medidas. O Gabinete do Comissário de Informação do Reino Unidoaplicou uma multa de 2,31 milhões de libras à 23andMe em junho do ano passado, na sequência de uma investigação conjunta com o Privacy do Canadá. Um tribunal federal aprovou inicialmente um acordo de ação coletiva no valor de 30 milhões de dólares, abrangendo a maioria das reclamações dos clientes norte-americanos. Esse acordo aumentou posteriormente para 50 milhões de dólares e recebeu aprovação final em janeiro de 2026.
O que os clientes podem fazer
Se fez o teste com a 23andMe, as medidas de segurança padrão em caso de violação continuam a aplicar-se. Reponha todas as palavras-passe que tenha reutilizado noutros sites e ative a autenticação multifator sempre que esta estiver disponível. O «credential stuffing» só funciona com nomes de utilizador e palavras-passe que já tenham sido expostos noutro local. Esteja também atento a ataques de phishing que mencionem a 23andMe ou a própria violação. E talvez seja conveniente ponderar os benefícios da utilização de serviços de testes de ADN face aos riscos de segurança.
Porque há um aspeto nesta questão que nenhuma multa nem acordo pode resolver: os dados genéticos roubados e vendidos na dark web não podem ser recuperados. As palavras-passe podem ser alteradas. O ADN, não.
Navegue como se ninguém estivesse a ver.
VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente →
