La empresa de pruebas genéticas 23andMe está acusada en una demanda colectiva de no proteger la privacidad de los clientes cuya información personal quedó expuesta el año pasado en una violación de datos que afectó a casi siete millones de perfiles.
La demanda, que fue presentada el viernes en el tribunal federal de San Francisco, también acusa a la compañía de no informar a los clientes de ascendencia china y judía asquenazí que parecían haber sido atacados específicamente o que su información genética personal había sido compilada en archivos «especialmente seleccionados». listas” que se compartieron y vendieron en la web oscura.
La demanda se presentó después de que 23andMe presentara una notificación a la Oficina del Fiscal General de California indicando que la empresa fue pirateada durante un período de cinco meses, desde finales de abril de 2023 hasta septiembre de 2023, antes de tener conocimiento de la infracción. Según el expediente, que fue informado por TechCrunchLa compañía se dio cuenta de la violación el 1 de octubre, cuando un pirata informático publicó en un subreddit no oficial de 23andMe, afirmando tener datos de clientes y compartiendo una muestra como prueba.
La empresa reveló por primera vez la infracción. en una publicación de blog el 6 de octubre, en el que decía que un «actor amenazador» había accedido a «ciertas cuentas» utilizando «credenciales de inicio de sesión recicladas»: contraseñas antiguas que los clientes de 23andMe habían utilizado en otros sitios y que habían sido comprometidas.
La compañía reveló el alcance total de la infracción en una publicación de blog actualizada el 5 de diciembre, luego de completar una revisión interna asistida por «expertos forenses externos». En ese momento, según Eli Wade-Scott, abogado de los demandantes, la información genética personal de los usuarios y otros materiales sensibles habían estado disponibles y puestos a la venta en la web oscura durante dos meses.
23andMe no respondió de inmediato a las solicitudes de comentarios sobre la demanda.
Jay Edelson, otro abogado que representa a los demandantes, dijo que el enfoque de 23andMe hacia la privacidad y la demanda resultante marcaron «un cambio de paradigma en la ley de privacidad del consumidor», ya que la sensibilidad de los datos violados ha aumentado.
«Ahora, cuando analizamos las violaciones de datos, nuestra primera preocupación será si la información se utilizará para acosar físicamente o dañar a las personas en una escala sistemática y masiva», dijo Edelson en un correo electrónico el viernes. “El estándar sobre cuándo una empresa actúa razonablemente para proteger los datos es ahora más estricto, al menos para el tipo de datos que se pueden utilizar de esta manera. »
Un padre de dos hijos de Florida, que es uno de los dos demandantes nombrados en la demanda, dijo en una entrevista que el kit de 23andMe que se compró como regalo de cumpleaños el año pasado revelaba que tenía herencia judía asquenazí. El hombre, identificado en la denuncia sólo por sus iniciales, JL, habló bajo condición de anonimato porque dijo que temía por su seguridad.
Dijo que buscaba conectarse con sus seres queridos, por lo que optó por una función llamada DNA Relatives, donde se comparte cierta información con otros clientes de 23andMe que podrían tener una coincidencia genética cercana.
El pirata informático obtuvo acceso a esta función y a información de 5,5 millones de perfiles de DNA Relatives, dijo 23andMe en diciembre. Los perfiles pueden incluir la ubicación geográfica del cliente, el año de nacimiento, el árbol genealógico y las fotografías cargadas.
El pirata informático también pudo acceder a la información de perfil de 1,4 millones de clientes adicionales accediendo a una función llamada Family Tree.
Después de que 23andMe informara a JL y a millones de otros usuarios que sus datos habían sido violados, JL dijo que temía convertirse en un objetivo a medida que aumentaban el discurso de odio antisemita y la violencia, alimentados por el conflicto entre Israel y Gaza.
«Ahora que la información está disponible», dijo, «alguien podría venir y decidir desahogar sus frustraciones».
El 1 de octubre, según la demanda, un hacker, que se hacía llamar «Golem» y utilizaba una imagen de Gollum de la película «El Señor de los Anillos» como avatar, filtró los datos personales de más de un millón de usuarios de 23andMe. con ascendencia judía en BreachForums, un foro en línea utilizado por ciberdelincuentes. Los datos incluían los nombres completos de los usuarios, direcciones particulares y fechas de nacimiento.
Más tarde, en respuesta a una solicitud en el foro de acceso a «cuentas chinas» por parte de alguien que usaba el seudónimo «Wuhan», Golem respondió con un enlace a la información del perfil de 100.000 clientes chinos, según el juicio. Golem dijo que tenía un total de 350.000 perfiles de clientes chinos y se ofreció a liberar el resto si había interés, según la demanda.
El 17 de octubre, Golem regresó al foro para declarar que tenía datos sobre «familias ricas al servicio del sionismo» que estaba ofreciendo a la venta tras la mortal explosión en el hospital Al-Arab Ahli en la ciudad de Gaza, según la denuncia. Los funcionarios israelíes y los activistas palestinos se culparon mutuamente por la explosión, pero las agencias de inteligencia israelíes y estadounidenses dicen que fue causada por un fallido ataque con cohetes palestinos.
Los demandantes buscan un juicio con jurado y daños compensatorios, punitivos y de otro tipo no especificados.
«El actual clima geopolítico y social», afirma la demanda, «magnifica los riesgos» para los usuarios cuyos datos han sido expuestos. El representante Josh Gottheimer, demócrata de Nueva Jersey, solicitó una investigación del FBI en la brecha a principios de este mes, destacando el enfoque en los judíos asquenazíes.
“Los datos filtrados podrían permitir a Hamas, sus partidarios y varios grupos extremistas internacionales atacar a la población judía estadounidense y sus familias”, escribió Gottheimer en una carta a Christopher Wray, director del FBI.
Ramesh Srinivasan, profesor del departamento de estudios de la información de la Universidad de California en Los Ángeles, dijo que era inevitable que este tipo de violaciones continuaran.
La question, dit-il, est de savoir si les entreprises vont y remédier en prenant de sérieuses précautions – en renforçant la sécurité ou en limitant la conservation des données, par exemple – ou si elles appliqueront simplement un pansement en promettant de faire mieux la La próxima vez.
«Estamos mirando al abismo cuando se trata de la datificación de nuestras vidas», dijo.