23AndMe had 'ontoereikende' beveiliging vóór 'zeer schadelijke' hack: onderzoek
Genetisch databedrijf 23AndMe had "ontoereikende" beveiligingssystemen en reageerde "traag" op waarschuwingssignalen dat gevoelige klantgegevens gevaar liepen vóór het "zeer schadelijke" datalek in 2023, aldus privacyfunctionarissen.
De Canadese privacycommissaris Philippe Dufresne en de Britse informatiecommissaris John Edwards maakten dinsdag de resultaten bekend van hun gezamenlijke onderzoek naar de inbreuk .
Uit het onderzoek bleek dat van de bijna zeven miljoen getroffen mensen wereldwijd, bijna 320.000 Canadezen en meer dan 150.000 mensen in het Verenigd Koninkrijk slachtoffer werden van hackers die hun gevoelige genetische informatie in gevaar brachten.
Dufresne zei dinsdag dat de inbreuk een "waarschuwingssignaal" is voor alle organisaties over het belang van gegevensbescherming.
VK legt 23andMe boete op voor 'zeer schadelijke' datalek
Dufresne voegde toe dat 23andMe niet over de juiste veiligheidsmaatregelen beschikte, waaronder passende authenticatie- en verificatiemaatregelen als onderdeel van het inlogproces, zoals multi-factorauthenticatie en zelfs strenge minimumvereisten voor wachtwoorden.
Verhaal gaat verder onder advertentie
"Nu datalekken steeds ernstiger en complexer worden en het aantal ransomware- en malware-aanvallen sterk toeneemt, wordt elke organisatie die geen stappen onderneemt om gegevensbescherming prioriteit te geven en deze bedreigingen aan te pakken, steeds kwetsbaarder", aldus Dufresne.
Hoewel de privacycommissaris van Canada niet bevoegd is om boetes op te leggen, kan de informatiecommissaris van het Verenigd Koninkrijk dat wel. In dit geval legt hij 23andMe een boete op van in totaal 2,31 miljoen pond.
De boete is het gevolg van het feit dat 23andMe “geen passende veiligheidsmaatregelen heeft geïmplementeerd om de persoonlijke informatie van Britse gebruikers te beschermen”, aldus Edwards.
Cybersecurity-expert over de gevolgen van het faillissement van 23andMe voor klantgegevens
Edwards zei dat bij het datalek van oktober 2023 gevoelige persoonlijke informatie, familiegeschiedenis en zelfs gezondheidstoestanden aan het licht kwamen.
Ontvang elke zondag het laatste medische nieuws en de laatste gezondheidsinformatie.
“Dit was een zeer schadelijke inbreuk”, zei hij.
23andMe heeft verzuimd basismaatregelen te nemen om de gegevens van mensen te beschermen. De beveiligingssystemen waren ontoereikend. De waarschuwingssignalen waren er, maar het bedrijf reageerde traag. Hierdoor waren de meest gevoelige persoonsgegevens van mensen kwetsbaar voor misbruik en schade.
Verhaal gaat verder onder advertentie
Hij vertelde verslaggevers dat zijn kantoor van mensen had gehoord die door de inbreuk waren getroffen en dat ze zich "bezorgd" voelden over wat de inbreuk zou kunnen betekenen voor hun persoonlijke, financiële en gezinsveiligheid.
Volgens Dufresne bleek uit hun onderzoek dat gestolen gegevens ook online te koop werden aangeboden, waardoor de persoonlijke informatie van de betrokkenen “nog meer in gevaar” kwam.
Gezondheidszaken: Regeneron koopt 23andMe
Het bedrijf schikte eind vorig jaar een rechtszaak waarin 23andMe ervan werd beschuldigd de privacy van 6,9 miljoen klanten wier persoonlijke gegevens bij de inbreuk waren gelekt, niet te hebben beschermd. Het bedrijf moest 30 miljoen dollar betalen en drie jaar lang beveiligingsmonitoring uitvoeren.
In de maanden na de inbreuk heeft het bedrijf met verschillende problemen te maken gekregen. Zo daalde de waarde van het bedrijf bij beursintroducties met ruim 97 procent en namen de zeven onafhankelijke bestuurders afgelopen september ontslag, terwijl er geruchten gingen dat de oorspronkelijke oprichter van plan was om het bedrijf weer van de beurs te halen.
Verhaal gaat verder onder advertentie
Het bedrijf heeft nooit winst gemaakt en vroeg in maart faillissement aan . Het wilde zijn bedrijf via een veiling verkopen nadat de vraag was afgenomen en er in 2023 een datalek was ontstaan.
Regeneron Pharmaceuticals ging vorige maand akkoord met de overname van het bedrijf voor 256 miljoen dollar, maar weigerde maandag een nieuw bod uit te brengen op het bedrijf nadat Anne Wojcicki, medeoprichter van 23andMe, het bod versloeg en 305 miljoen dollar van de non-profitorganisatie die zij beheert, naar voren schoof.
Faillissementsaanvraag 23andMe leidt tot bezorgdheid over data
Volgens haar non-profitorganisatie TTAM Research Institute zal de bieding van Wojcicki naar verwachting de komende weken worden afgerond na een rechtszitting die dinsdag gepland staat. De non-profitorganisatie zei dat ze het bestaande privacybeleid van 23andMe zal handhaven en alle toepasselijke wetgeving inzake gegevensbescherming zal naleven.
Verslaggevers vroegen Dufresne ook naar Wojcicki, die CEO was ten tijde van het datalek, maar die nu weer de leiding heeft overgenomen en mogelijk gegevens buiten het bedrijf verkoopt.
Verhaal gaat verder onder advertentie
Hij zei dat het bedrijf maatregelen heeft genomen om een aantal aanbevelingen van zijn en Edwards' kantoren op te volgen, en dat de nieuwe koper de garantie heeft gegeven dat het bestaande privacybeleid en -bepalingen zal respecteren.
"We hebben in het rapport aangegeven dat we dit nauwlettend zullen volgen, dat de verplichtingen blijven gelden voor elke nieuwe eigenaar en dat als er zorgen zijn, onze burgers contact met ons kunnen opnemen en dat we de nodige stappen zullen ondernemen", aldus Dufresne.
Hij voegde eraan toe dat zijn kantoor weliswaar geen boetes kan opleggen, maar wel aanbevelingen doet aan de overheid en zo nodig samenwerkt met de internationale gemeenschap. Hij zei dat hij in "passende gevallen" ook een verzoek kan indienen bij de Federale Rechtbank om een bevel te verkrijgen om bindende verplichtingen aan een organisatie op te leggen.
Edwards waarschuwde 23andMe nogmaals en zei dat ze te maken kunnen krijgen met nog meer boetes en handhaving als er geen actie wordt ondernomen.
"Dit zijn doorlopende verplichtingen, dus de leiding is erop gewezen dat ze in overtreding zijn", aldus Edwards. "Ze hebben de norm die de Britse wetgeving vereist niet gehaald. Als ze daar niets aan doen, blijven ze in overtreding en kunnen ze worden blootgesteld aan verdere handhavingsmaatregelen."
VK legt 23andMe boete op voor 'zeer schadelijke' datalek
Cybersecurity-expert over de gevolgen van het faillissement van 23andMe voor klantgegevens
