23AndMe tinha segurança 'inadequada' antes do hack 'profundamente prejudicial': investigação
A empresa de dados genéticos 23AndMe tinha sistemas de segurança "inadequados" e era "lenta para responder" aos sinais de alerta de que os dados confidenciais dos clientes estavam em risco antes da violação de dados "profundamente prejudicial" de 2023, dizem autoridades de privacidade.
O comissário de privacidade canadense, Philippe Dufresne, e o comissário de informações do Reino Unido, John Edwards, divulgaram os resultados de sua investigação conjunta sobre a violação na terça-feira.
A investigação descobriu que, dos quase sete milhões de pessoas impactadas no mundo todo, quase 320.000 canadenses e mais de 150.000 pessoas no Reino Unido tiveram suas informações genéticas confidenciais comprometidas por hackers.
Dufresne disse na terça-feira que a violação serve como um "conto de advertência" para todas as organizações sobre a importância da proteção de dados.
Reino Unido multa 23andMe por violação de dados "profundamente prejudicial"
Dufresne acrescentou que a 23andMe não tinha medidas de segurança, incluindo medidas de autenticação e verificação adequadas como parte do processo de login, como autenticação multifator e até mesmo requisitos mínimos de senhas fortes.
A história continua abaixo do anúncio
“Com as violações de dados crescendo em gravidade e complexidade e os ataques de ransomware e malware aumentando drasticamente, qualquer organização que não esteja tomando medidas para priorizar a proteção de dados e lidar com essas ameaças está cada vez mais vulnerável”, disse Dufresne.
Embora o comissário de privacidade do Canadá não tenha o poder de aplicar multas, o comissário de informações do Reino Unido pode — e neste caso, está multando a 23andMe em um total de 2,31 milhões de libras.
A multa é resultado da falha da 23andMe em implementar medidas de segurança apropriadas para proteger as informações pessoais dos usuários do Reino Unido", disse Edwards.
Especialista em segurança cibernética explica o que a falência da 23andMe significa para os dados dos clientes
Edwards disse que a violação de dados de outubro de 2023 expôs informações pessoais confidenciais, históricos familiares e até mesmo condições de saúde.
Receba as últimas notícias médicas e informações sobre saúde todos os domingos.
“Esta foi uma violação profundamente prejudicial”, disse ele.
A 23andMe não tomou medidas básicas para proteger as informações das pessoas. Os sistemas de segurança eram inadequados. Os sinais de alerta estavam lá e a empresa demorou a responder. Isso deixou os dados pessoais mais sensíveis das pessoas vulneráveis à exploração e a danos.
A história continua abaixo do anúncio
Ele continuou dizendo aos repórteres que seu gabinete ouviu pessoas afetadas pela violação e disse que elas se sentiam "ansiosas" sobre o que isso poderia significar para sua segurança pessoal, financeira e familiar.
De acordo com Dufresne, a investigação descobriu que dados roubados também eram oferecidos para venda online, colocando as informações pessoais de indivíduos afetuosos “em risco ainda maior”.
Questões de saúde: Regeneron compra 23andMe
No final do ano passado, a empresa resolveu um processo que acusava a 23andMe de não proteger a privacidade de 6,9 milhões de clientes cujas informações pessoais foram expostas na violação. A empresa foi condenada a pagar US$ 30 milhões e fornecer três anos de monitoramento de segurança.
Nos meses desde a violação, a empresa enfrentou vários problemas, incluindo a queda de mais de 97% no seu valor em listagens públicas e a renúncia de seus sete diretores independentes em setembro passado, em meio a notícias de que o fundador original planejava tornar a empresa privada novamente.
A história continua abaixo do anúncio
A empresa nunca obteve lucro e entrou com pedido de falência em março , buscando vender seus negócios em leilão após uma queda na demanda e a violação de dados de 2023.
No mês passado, a Regeneron Pharmaceuticals concordou em comprar a empresa por US$ 256 milhões, mas na segunda-feira se recusou a enviar uma nova oferta pela empresa depois que a cofundadora da 23andMe, Anne Wojcicki, superou sua oferta, oferecendo US$ 305 milhões da organização sem fins lucrativos que ela controla.
O pedido de falência da 23andMe gera preocupação com dados
A proposta de Wojcicki deve ser concluída nas próximas semanas, após uma audiência judicial marcada para terça-feira, de acordo com seu Instituto de Pesquisa TTAM, uma organização sem fins lucrativos. A organização afirmou que manterá as políticas de privacidade existentes da 23andMe e cumprirá todas as leis de proteção de dados aplicáveis.
Os repórteres também perguntaram a Dufresne sobre Wojcicki, que era CEO durante a violação de dados, assumindo mais uma vez e potencialmente vendendo dados para fora da empresa.
A história continua abaixo do anúncio
Ele disse que a empresa tomou medidas para atender a algumas das recomendações feitas pelos escritórios dele e de Edwards e recebeu garantias do novo comprador de que respeitariam as políticas e cláusulas de privacidade existentes.
“Indicamos no relatório que acompanharemos isso cuidadosamente, que as obrigações devem continuar a se aplicar a qualquer novo proprietário e que, se houver alguma preocupação, nossos cidadãos podem entrar em contato conosco e tomaremos as medidas apropriadas”, disse Dufresne.
Ele acrescentou que, embora seu gabinete não possa aplicar multas, está fazendo recomendações ao governo e trabalhando com a comunidade internacional conforme necessário. Ele disse que, em "casos apropriados", também pode recorrer à Justiça Federal para obter uma ordem que imponha obrigações vinculativas a uma organização.
Mas Edwards emitiu um aviso severo à 23andMe de que eles podem enfrentar mais multas e medidas punitivas se nenhuma ação for tomada.
“Essas são obrigações contínuas, então eles foram informados à liderança sobre o descumprimento”, disse Edwards. “Eles não atingiram o padrão exigido pela legislação do Reino Unido. Se não corrigirem isso, permanecerão em descumprimento e poderão estar sujeitos a novas medidas de execução.”
Reino Unido multa 23andMe por violação de dados "profundamente prejudicial"
Especialista em segurança cibernética explica o que a falência da 23andMe significa para os dados dos clientes
