La empresa de pruebas genéticas 23andMe ha sido acusada en una demanda colectiva de no proteger la privacidad de los clientes cuya información personal quedó expuesta el año pasado en una violación de datos que afectó a casi siete millones de perfiles.
La demanda, presentada el viernes en un tribunal federal de San Francisco, también acusa a la compañía de no notificar a los clientes de ascendencia china y judía asquenazí que parecían haber sido atacados específicamente o que su información genética personal había sido incluida en “listas de archivos especialmente seleccionados”. que fueron compartidos y vendidos en la web oscura.
La demanda se presentó después de que 23andMe presentara una notificación a la Oficina del Fiscal General de California mostrando que la empresa había sido pirateada en el transcurso de cinco meses, desde finales de abril de 2023 hasta septiembre de 2023, antes de que tuviera conocimiento de la infracción. Según el documento, informado por TechCrunch, la compañía se dio cuenta de la violación el 1 de octubre, cuando un pirata informático hizo una publicación en un subreddit no oficial de 23andMe afirmando tener datos de clientes y compartiendo una muestra como prueba.
La compañía reveló por primera vez la violación en una publicación de blog el 6 de octubre en la que decía que un “actor amenazador” había obtenido acceso a “ciertas cuentas” utilizando “credenciales de inicio de sesión recicladas”: contraseñas antiguas que los clientes de 23andMe habían usado en otros sitios. que había sido comprometida.
La compañía reveló el alcance total de la infracción en una publicación de blog actualizada el 5 de diciembre, luego de completar una revisión interna asistida por “expertos forenses externos”. Para entonces, la información genética personal de los usuarios y otro material sensible habían estado disponibles y puestos a la venta en la web oscura durante dos meses, según Eli Wade-Scott, abogado de los demandantes.
23andMe no respondió de inmediato a las solicitudes de comentarios sobre la demanda.
Jay Edelson, otro abogado que representa a los demandantes, dijo que el enfoque de 23andMe hacia la privacidad y la demanda resultante marcaron “un cambio de paradigma en la ley de privacidad del consumidor” a medida que ha aumentado la sensibilidad de los datos violados.
“Ahora, cuando revisemos las filtraciones de datos, nuestra primera preocupación será si la información se utilizará para acosar físicamente o dañar a las personas de forma sistemática y masiva”, dijo Edelson en un correo electrónico el viernes. “El estándar sobre cuándo una empresa actúa razonablemente para proteger los datos es ahora más alto, al menos para el tipo de datos que se pueden utilizar de esta manera”.
Un padre de dos hijos de Florida, uno de los dos demandantes nombrados en la demanda, dijo en una entrevista que el kit de 23andMe que compró como regalo de cumpleaños el año pasado revelaba que tenía orígenes judíos asquenazíes. El hombre, identificado en la denuncia sólo por las iniciales JL, habló bajo condición de anonimato porque dijo que temía por su seguridad.
Dijo que buscaba conectarse con familiares, por lo que optó por una función llamada DNA Relatives, en la que se comparte información selecta con otros clientes de 23andMe que pueden tener una coincidencia genética cercana.
El pirata informático obtuvo acceso a esta función y a información de 5,5 millones de perfiles de ADN de familiares, dijo 23andMe en diciembre. Los perfiles pueden incluir la ubicación geográfica del cliente, el año de nacimiento, el árbol genealógico y las fotografías cargadas.
El pirata informático también pudo acceder a la información de perfil de otros 1,4 millones de clientes accediendo a una función llamada Family Tree.
Después de que 23andMe informara a JL y a millones de otros usuarios que sus datos habían sido violados, JL dijo que temía convertirse en un objetivo a medida que el discurso de odio antisemita y la violencia aumentaban, alimentados por el conflicto entre Israel y Gaza.
“Ahora que la información está disponible”, dijo, “alguien podría entrar y decidir desahogar sus frustraciones”.
Según la acusación, el 1 de octubre, un hacker que se hace llamar “Golem” y utiliza la imagen de Gollum de las películas “El Señor de los Anillos” como su avatar reveló los datos personales de más de 1 millón de usuarios de 23andMe a través de Ancestry Jewish en BreachForums. , un foro en línea utilizado por ciberdelincuentes. Los datos incluían los nombres completos de los usuarios, direcciones particulares y fechas de nacimiento.
Más tarde, en respuesta a una solicitud en un foro para acceder a “cuentas chinas” por parte de alguien que usaba el seudónimo “Wuhan”, Golem respondió con un enlace a la información del perfil de 100.000 clientes chinos, según la acusación. Golem afirmó tener un total de 350.000 perfiles de clientes chinos y ofreció liberar a los demás si había interés, afirma la demanda.
El 17 de octubre, Golem regresó al foro para decir que tenía datos sobre “familias ricas al servicio del sionismo” que estaba ofreciendo a la venta después de la mortal explosión en el Hospital Árabe Al-Ahli de la ciudad de Gaza, dice la demanda. . Los funcionarios israelíes y los militantes palestinos se han culpado mutuamente por la explosión, pero las agencias de inteligencia israelíes y estadounidenses dicen que fue causada por un lanzamiento fallido de un cohete palestino.
Los demandantes buscan un juicio con jurado y daños compensatorios, punitivos y de otro tipo no especificados.
“El actual clima geopolítico y social”, afirma la demanda, “amplifica los riesgos” para los usuarios cuyos datos quedaron expuestos. El representante Josh Gottheimer, demócrata de Nueva Jersey, pidió una investigación del FBI sobre la violación a principios de este mes, destacando el enfoque en los judíos asquenazíes.
“Los datos filtrados podrían permitir a Hamas, sus partidarios y varios grupos extremistas internacionales atacar a la población judía estadounidense y sus familias”, escribió Gottheimer en una carta a Christopher Wray, director del FBI.
Ramesh Srinivasan, profesor del departamento de estudios de la información de la Universidad de California en Los Ángeles, dijo que es inevitable que este tipo de violaciones continúen.
La pregunta, dijo, es si las empresas abordarán estos problemas tomando precauciones serias (reforzando la seguridad o limitando la retención de datos, por ejemplo) o si simplemente aplicarán una curita y prometerán hacerlo mejor la próxima vez.
“Estamos mirando al abismo cuando se trata de la datificación de nuestras vidas”, dijo.