DNR tyrimų milžinė 23andMe sutiko sumokėti 30 milijonų JAV dolerių, kad išspręstų ieškinį dėl duomenų pažeidimo, dėl kurio 2023 metais buvo atskleista 6,4 milijono klientų asmeninė informacija.
Ketvirtadienį San Francisko federaliniame teisme pateiktame pasiūlytame kolektyvinio ieškinio susitarime, kuris laukia teismo patvirtinimo, numatomi mokėjimai grynaisiais nukentėjusiems klientams, kurie bus paskirstyti per dešimt dienų nuo galutinio patvirtinimo.
„23andMe mano, kad susitarimas yra teisingas, adekvatus ir pagrįstas“, – sakoma bendrovės memorandume, pateiktame penktadienį.
23andMe taip pat sutiko sustiprinti savo saugumo protokolus, įskaitant apsaugą nuo kredencialų užpildymo atakų, privalomą dviejų veiksnių autentifikavimą visiems vartotojams ir kasmetinius kibernetinio saugumo auditus.
Įmonė taip pat turi sukurti ir prižiūrėti reagavimo į duomenų pažeidimus planą ir nebesaugoti neaktyvių ar išjungtų paskyrų asmens duomenų. Atnaujinta Informacijos saugos programa taip pat bus teikiama visiems darbuotojams metinių mokymų metu.
„23andMe neigia skunde išdėstytus reikalavimus ir kaltinimus, neigia, kad nesugebėjo tinkamai apsaugoti savo vartotojų ir naudotojų Asmeninės informacijos, taip pat neigia Taikos sutarties grupės atstovų reikalavimų atlyginti įstatymų numatytą žalą pagrįstumą“, – rašoma bendrovės pranešime. pateikė preliminarų taikos sutartį.
„23andMe neigia bet kokius neteisėtus veiksmus, todėl ši Sutartis jokiu būdu negali būti aiškinama ar laikoma 23andMe įrodymu, pripažinimu ar nuolaida, susijusia su bet kokia pretenzija dėl bet kokios kaltės ar atsakomybės, neteisėtų veiksmų ar žalos“.
Šis susitarimas susijęs su teiginiais, kad genetinių tyrimų įmonė nesugebėjo apsaugoti vartotojų privatumo ir neinformavo klientų, kad įsilaužėliai konkrečiai nusitaikė į juos ir, kaip pranešama, jų informacija buvo pasiūlyta parduoti tamsiajame žiniatinklyje.
Duomenys buvo pavogti po kredencialų užpildymo atakos
2023 m. spalio mėn. 23andMe atskleidė, kad neteisėta prieiga prie klientų profilių įvyko per pažeistas paskyras. Įsilaužėliai pasinaudojo iš kitų pažeidimų pavogtais kredencialais, kad galėtų pasiekti 23andMe paskyras.
Aptikusi pažeidimą, bendrovė ėmėsi priemonių panašiems incidentams blokuoti, įskaitant reikalavimą klientams iš naujo nustatyti slaptažodžius ir nuo lapkričio mėnesio pagal numatytuosius nustatymus įgalinti dviejų veiksnių autentifikavimą.
Nuo spalio mėn. grėsmės veikėjai nutekino duomenų profilius, priklausančius 4,1 milijono asmenų Jungtinėje Karalystėje ir 1 milijonui žydų aškenazių neoficialiuose 23andMe subreddit ir įsilaužimo forumuose, tokiuose kaip BreachForums.
„23andMe“ gruodį „BleepingComputer“ pranešė, kad pažeidus duomenis buvo atsiųsta 6,9 mln. klientų, įskaitant informaciją apie 6,4 mln. JAV gyventojų.
Sausio mėnesį bendrovė taip pat patvirtino, kad užpuolikai pavogė sveikatos ataskaitas ir neapdorotus genotipo duomenis per penkis mėnesius trukusią kredencialų užpildymo ataką nuo balandžio iki rugsėjo.
Dėl duomenų pažeidimo buvo iškelta daugybė kolektyvinių ieškinių, todėl „23andMe“ 2023 m. lapkričio mėn. pakeitė savo naudojimo sąlygas, o tai klientų kritikavo. Vėliau bendrovė patikslino, kad pakeitimais buvo siekiama supaprastinti arbitražo procesą.