Jaksa Agung California Rob Bonta mengajukan gugatan terhadap 23andMe, sekarang Chrome Holding Co., atas kegagalan perusahaan dalam melindungi informasi genetik dan pribadi pelanggan yang sensitif.
Keamanan yang tidak tepat menyebabkan pelanggaran data tingkat tinggi pada tahun 2023 yang mengungkap informasi sensitif dari hampir 7 juta pelanggan, termasuk 855.541 warga California.
Insiden ini terungkap pada bulan Oktober tahun itu, setelah pelaku ancaman menawarkan untuk menjual sejumlah besar catatan yang dicuri dari 23andMe, dan membocorkan sampel data (dan kemudian bagian kumpulan data yang lebih besar) untuk membuktikan keaslian informasi.
Perusahaan yang berbasis di California tersebut mengonfirmasi bahwa data yang bocor itu asli dan mengklaim bahwa data tersebut telah diekstraksi setelah a serangan pengisian kredensial menargetkan akun dengan kredensial lemah.
Segera, menjadi jelas bahwa para penyerang telah mengambil data dari pengguna yang memilih fitur ‘DNA Relatives’ di platform tersebut, dan kemudian mengakses kumpulan akun kedua yang jauh lebih besar yang tidak menggunakan fitur tersebut.
Secara total, insiden tersebut memaparkan data secara kasar 6,9 juta pelanggantermasuk data genetik, informasi kecenderungan kesehatan, informasi leluhur dan etnis, kerabat biologis, dan kecocokan DNA.
Pada akhir tahun 2023, perusahaan tersebut sudah berdiri menghadapi banyak tuntutan hukum. Pada awal tahun 2024, otoritas perlindungan data nasional meluncurkan investigasi yang pada akhirnya membuahkan hasil denda jutaan dolarmemimpin perusahaan ke mengajukan kebangkrutan.
Yang terbaru gugatan yang diajukan oleh AG R. Bonta mengklaim bahwa 23andMe gagal menerapkan perlindungan yang wajar terhadap serangan pengisian kredensial, kehilangan banyak peluang untuk mendeteksi intrusi, dan gagal menangkap kesalahan pengkodean dalam DNA Relatives yang menyebabkan pelanggaran meluas.
Selain kegagalan perlindungan data, Bonta juga menggarisbawahi pernyataan publik menyesatkan yang dibuat 23andMe sebelum dan sesudah kejadian.
Secara khusus, perusahaan tersebut mengklaim sebelum kejadian bahwa keamanannya memenuhi standar yang tinggi. Setelah pelanggaran tersebut, mereka berusaha untuk meremehkan tingkat keparahan insiden tersebut, dengan menyatakan bahwa data yang terekspos sebagian besar bersifat publik, dan menyalahkan pelanggan atas penggunaan ulang kata sandi, dengan menyatakan bahwa sistemnya tidak dilanggar.
Secara keseluruhan, Jaksa Agung berpendapat bahwa tindakan tersebut melanggar beberapa undang-undang negara bagian, termasuk Undang-Undang Privasi Informasi Genetik California, Undang-Undang Keamanan Data Wajar California, Undang-Undang Privasi Konsumen California (CCPA), Undang-Undang Periklanan Palsu, dan Undang-Undang Persaingan Tidak Sehat.
Itu keluhan mencari perintah untuk mencegah pelanggaran lebih lanjut terhadap hal-hal di atas, termasuk penerapan denda menurut undang-undang sebesar $1.000-$7.500 per pelanggaran, tergantung pada kasusnya.
Pengumuman AG mencatat bahwa perselisihan kebangkrutan mengenai usulan penjualan data genetik dan bahan biologis warga California adalah proses yang terpisah.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
