- O procurador-geral da Califórnia, Rob Bonta, afirmou que vai processar a Chrome Holding, sucessora da 23andMe, por falhas na proteção de dados.
- A violação de 2023 expôs predisposições genéticas, fatores de risco de quase sete milhões de usuários e informações sobre parentes, ancestralidade e etnia.
- Bonta disse que a empresa não tomou medidas básicas de proteção e que a 23andMe mentiu sobre a gravidade da violação.
- A Chrome Holding foi criada após a 23andMe pedir falência no ano passado.
- A venda dos dados de usuários na dark web mencionou especificamente indivíduos AAPI e judeus, e os hackers usaram ataque de “credential stuffing” para invadir contas com senhas expostas.
O procurador-geral da Califórnia, Rob Bonta, anunciou que processará a Chrome Holding, empresa-sucedida da 23andMe, após uma investigação que aponta falhas na proteção de dados sensíveis de clientes. O processo envolve a violação de dados ocorrida em 2023.
Segundo Bonta, a falha permitiu que quase sete milhões de usuários tivessem informações de predisposição genética, fatores de risco, parentes biológicos, ancestralidade e etnia expostas. A investigação concluiu que a empresa não adotou medidas básicas de proteção.
Alega-se ainda que a empresa mentiu aos consumidores sobre a gravidade do incidente de 2023. A BBC informou que a Chrome Holding não comentou o processo, enquanto a empresa foi rebatizada após a 23andMe entrar com pedido de falência no ano passado.
Regulatório e desdobramentos
Bonta destacou que a venda de dados de usuários da 23andMe no dark web mencionava especificamente usuários de origem asiático-americana e judeus. O procurador afirmou que o caso ocorre em um momento de aumento de preconceito e violência contra minorias.
O ataque de credenciais, utilizado por invasores, explorou senhas expostas em violações anteriores para acessar contas em que usuários repetiam credenciais semelhantes. O episódio gerou escrutínio regulatório internacional sobre a empresa.
No Reino Unido, a Information Commissioner’s Office multou a 23andMe em £2,31 milhões, por não adotar medidas suficientes para proteger dados sensíveis antes do incidente. A instituição também verificou falhas no login de usuários, em cooperação com o commissioner de privacidade do Canadá.
A 23andMe informou ter tomado compromissos para fortalecer a proteção de dados e a privacidade dos clientes. A investigação enfatiza a proteção de dados genéticos como categoria especial, com regras mais rígidas.
A empresa sofreu críticas adicionais após usuários relatarem dificuldades para excluir contas durante o processo de venda supervisionado pela Justiça, em meio à proteção de dados e dúvidas sobre uso por seguradoras.
Fundada por Anne Wojcicki, a 23andMe já teve clientes como celebridades e atingiu pico de valor de mercado superior a US$ 300 por ação antes de seu declínio recente.
Entre na conversa da comunidade