VB: 2,7 milijona EUR za 23andMe
Nadzorni organ je podjetje za genetsko testiranje kaznoval zaradi neustrezne zaščite genetskih podatkov uporabnikov v Združenem kraljestvu
Odločitev je bila objavljena 17.6.2025
Med aprilom in septembrom 2023 je heker izvedel napad s ponarejanjem poverilnic na platformo 23andMe, pri čemer je izkoristil ponovno uporabljene prijavne poverilnice, ki so bile ukradene iz prejšnjih nepovezanih kršitev varnosti podatkov. Tako je dobil nepooblaščen dostop do imen, letnic rojstva, lokacije ali poštnih številk, profilnih slik, podatkov o rasi, etnični pripadnosti in zdravstvenih poročil 155.592 prebivalcev Združenega kraljestva. Vrsta in količina osebnih podatkov se je razlikovala glede na podatke, vključene v račun stranke.
Preiskava je pokazala, da 23andMe ni uvedel dodatnih korakov preverjanja, s katerimi bi uporabniki lahko dostopali do svojih genetskih podatkov in jih prenašali.
John Edwards, pooblaščenec za varstvo osebnih podatkov Združenega kraljestva, je dejal:
»To je bila izjemno škodljiva kršitev, ki je razkrila občutljive osebne podatke, družinske anamneze in celo zdravstveno stanje tisočev ljudi v Združenem kraljestvu. Kot nam je povedal eden od prizadetih: ko so te informacije enkrat objavljene, jih ni mogoče spremeniti, 23andMe pa ni sprejel niti osnovnih ukrepov za zaščito teh informacij. Njihovi varnostni sistemi so bili neustrezni, navkljub opozorilnim znakom se je podjetje na grožnje le počasi odzivalo. Zaradi tega so bili najbolj občutljivi podatki ljudi ranljivi za izkoriščanje in škodo. To preiskavo smo izvedli v sodelovanju z našimi kanadskimi kolegi, kar poudarja moč mednarodnega sodelovanja pri pozivanju globalnih podjetij k odgovornosti. Varstvo podatkov se ne ustavi na mejah in tudi mi se ne, ko gre za zaščito pravic prebivalcev Združenega kraljestva.«
Philippe Dufresne, kanadski pooblaščenec za varstvo podatkov, je dejal:
»Močno varstvo podatkov mora biti prednostna naloga za organizacije, zlasti tiste, ki hranijo posebne vrste osebnih podatkov. Ker kršitve podatkov postajajo vse resnejše in kompleksnejše, število napadov z izsiljevalsko programsko opremo in zlonamerno programsko opremo pa strmo narašča, je vsaka organizacija, ki ne sprejema ukrepov za varstvo podatkov in obravnavanje teh groženj, vse bolj ranljiva. Skupne preiskave, kot je ta, kažejo, kako lahko regulativno sodelovanje učinkoviteje obravnava vprašanja globalnega pomena. Z uporabo naših združenih moči, virov in strokovnega znanja lahko povečamo svoj vpliv ter bolje zaščitimo in spodbujamo temeljno pravico do zasebnosti posameznikov v vseh jurisdikcijah.«
Povzetek kršitev
Skupna preiskava podjetja 23andMe je razkrila resne varnostne pomanjkljivosti v času kršitve varnosti podatkov leta 2023. Podjetje je kršilo zakonodajo Združenega kraljestva o varstvu podatkov, ker ni uvedlo ustreznih ukrepov za preverjanje pristnosti in preverjanja, kot so obvezna večfaktorska avtentikacija, varni protokoli za gesla ali kompleksna uporabniška imena. Prav tako ni uvedlo ustreznega nadzora nad dostopom do izbornih genetskih podatkov in ni imelo vzpostavljenih učinkovitih sistemov za spremljanje, odkrivanje ali odzivanje na kibernetske grožnje, ki so ciljale posebne vrste osebnih podatkov njihovih strank.
Odziv podjetja 23andMe na dogajanje v zvezi z incidentom je bil neustrezen. Heker je napad s polnjenjem poverilnic začel aprila 2023, preden je maja 2023 izvedel prvi intenzivni napad. Avgusta 2023 je bila trditev o kraji podatkov, ki je prizadela več kot 10 milijonov uporabnikov, zavrnjena kot prevara, kljub temu da je 23andMe julija 2023 izvedel posamezne preiskave nepooblaščenih dejavnosti na svoji platformi. Septembra 2023 je sledil še en napad, vendar podjetje ni začelo celovite preiskave do oktobra 2023, ko je zaposleni pri 23andMe odkril, da so bili ukradeni podatki naprodaj na Redditu. Šele takrat je 23andMe potrdil, da je prišlo do kršitve varnosti podatkov. Do konca leta 2024 so bile varnostne izboljšave, ki jih je izvedlo podjetje 23andMe, zadostne za odpravo kršitev, ugotovljenih v začasni odločitvi nadzornega organa.
Celotna odločitev je dostopna tukaj
Vir: ICO
Naslovna slika: RawPixel
