Штат Калифорния подал иск против бывшей структуры компании 23andMe, занимавшейся ДНК-тестированием, в связи с предполагаемыми нарушениями безопасности и вводящими в заблуждение заявлениями, связанными с утечкой данных в 2023 году.
27 мая 2026 года генеральный прокурор Роб Бонта подал иск в Верховный суд Сан-Франциско против компании Chrome Co., которая в настоящее время управляет оставшимися активами компании 23andMe после её банкротства.
В иске штата Калифорния компания 23andMe обвиняется в несоблюдении разумных мер безопасности для защиты конфиденциальных данных, а также в нарушении ряда законов штата о конфиденциальности и защите прав потребителей. Кроме того, компании вменяется в вину предоставление вводящей в заблуждение информации о своих мерах безопасности.
В ходе взлома 2023 года злоумышленники применили традиционную тактику «credential stuffing» на странице входа в систему 23andMe. Они действовали внутри систем около пяти месяцев, оставаясь незамеченными. Прямой ущерб оказался незначительным — пострадали около 14 000 учетных записей, — но этого оказалось достаточно, чтобы похитить данные почти семи миллионов клиентов.
Злоумышленники получили доступ к этим учетным записям через «DNA Relatives» — ключевую функцию платформы, позволяющую пользователям определять своих родственников на основе сходства ДНК. В иске утверждается, что критическая ошибка в коде этой функции позволила злоумышленникам похитить данные миллионов других пользователей, связанных биологическим родством.
Защита, основанная на обвинении жертвы, стала доказательством
После того как об утечке стало известно общественности, компания 23andMe направила юридическим представителям пострадавших письмо, в котором возложила вину на пользователей за повторное использование паролей с сайтов, подвергшихся взлому ранее. Компания высказала мнение, что утечка данных произошла по собственной воле пользователей и не нанесет им «материального ущерба».
Однако ущерб, связанный с кражей генетических данных, выходит далеко за рамки финансовых потерь. Украденная генетическая информация позволила злоумышленникам установить генетическое происхождение человека.
Сообщается, что данные выставлялись на продажу в даркнете с упоминанием этой информации в качестве рекламного хода, что позволяло продавцам предлагать, например, записи о клиентах из числа азиатско-американцев и жителей тихоокеанских островов (AAPI) или евреев. В офисе Бонты отметили, что в то время наблюдался рост антисемитского насилия.
Несмотря на попытку в письме возложить вину на пользователей, только около 14 000 учетных записей были непосредственно взломаны из-за повторного использования паролей. Остальные данные, как утверждается, были раскрыты через собственный продукт компании 23andMe. Согласно иску, ошибка в коде приложения DNA Relatives привела к утечке данных всех пользователей, подключившихся к данной услуге, а не только тех, кто был связан с 14 000 взломанных учетных записей.
Может ли государство взыскать ущерб?
Штат Калифорния намеревается ввести административные штрафы в размере от 1 000 до 7 500 долларов за каждое нарушение. Учитывая, что число пострадавших пользователей составляет 855 541 человек, сумма штрафов может быстро вырасти.
Вопрос заключается в том, какую часть этой суммы сможет получить штат в случае выигрыша дела. В марте 2025 года компания 23andMe подала заявление о банкротстве по главе 11, а затем продала большую часть своих активов, включая геномные данные более 15 миллионов клиентов, некоммерческой организации TTAM Research Institute, основанной бывшим генеральным директором 23andMe Энн Войцицки. Калифорния и несколько других штатов выступили против этой сделки, сославшись на Privacy генетической информации, но федеральный судья по делам о банкротстве одобрил ее. В настоящее время штаты обжалуют это решение.
Chrome Co., пустая корпоративная оболочка, оставшаяся от компании 23andMe, получила от этой сделки 305 миллионов долларов. Но остатки уже разграбили другие.
Другие регулирующие органы уже приняли свои меры. В июне прошлого года Управление комиссара по информации Великобританииоштрафовало компанию 23andMe на 2,31 млн фунтов стерлингов по итогам совместного расследования с Управлением Privacy Канады. Федеральный суд первоначально одобрил урегулирование коллективного иска на сумму 30 млн долларов, охватывающее большинство претензий клиентов из США. Позже сумма урегулирования была увеличена до 50 млн долларов, и в январе 2026 года оно было окончательно утверждено.
Что могут сделать клиенты
Если вы проходили тестирование в компании 23andMe, к вам по-прежнему применимы стандартные меры безопасности в случае утечки данных. Смените все пароли, которые вы использовали на других сайтах, и включите многофакторную аутентификацию везде, где она доступна. Метод «credential stuffing» работает только с именами пользователей и паролями, которые уже были утечены где-либо ранее. Также будьте начеку в отношении фишинговых атак, в которых упоминается компания 23andMe или сама утечка данных. И, возможно, взвесьте все «за» и «против» использования услуг по тестированию ДНК с точки зрения рисков для безопасности.
Ведь есть один аспект, который не решить ни штрафом, ни урегулированием: украденные генетические данные, проданные в даркнете, невозможно вернуть. Пароли можно сменить. А ДНК — нет.
Просматривайте, как будто никто не смотрит.
Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно →
