Califórnia processa a 23andMe por violação de dados de 2023 que afetou 7 milhões de usuários

Califórnia toma medidas contra uma empresa de dados genéticos

O procurador-geral da Califórnia, Rob Bonta, processou a empresa anteriormente conhecida como 23andMe, agora Chrome Holding Co., pela violação de 2023 que expôs informações sensíveis de 7 milhões de usuários. De acordo com o texto-fonte, 855.541 desses usuários afetados eram residentes da Califórnia.

A ação mira tanto as práticas de segurança quanto a comunicação com os clientes. Bonta acusa a empresa de não proteger informações pessoais e genéticas altamente sensíveis, incluindo dados genéticos relacionados à saúde, detalhes sobre ancestralidade e etnia, e informações ligadas a parentes biológicos.

O caso do estado

A 23andMe afirmou anteriormente que agentes mal-intencionados obtiveram acesso por meio de credential stuffing, usando credenciais roubadas em violações anteriores. Mas a queixa da Califórnia, conforme resumida no artigo, argumenta que uma empresa que lida com dados genéticos deveria ter previsto esse método de ataque e se defendido contra ele.

O argumento de Bonta vai além. Ele diz que a 23andMe sabia de uma violação na MyHeritage, outra plataforma genealógica com a qual trabalhava, mas não impediu a reutilização de credenciais nem verificou isso de forma adequada. O artigo também diz que a 23andMe havia incentivado usuários a se cadastrar em contas da MyHeritage, o que tornava a sobreposição mais significativa.

Como a violação se ampliou

O processo não se concentra apenas nas primeiras tomadas de conta. Segundo o texto-fonte, invasores primeiro acessaram cerca de 14 mil contas por meio de credential stuffing e, depois, usaram uma vulnerabilidade no recurso DNA Relatives para alcançar dados de milhões de outros clientes.

Bonta afirma que os controles de segurança da empresa eram tão fracos que os invasores operaram sem ser detectados por cinco meses. Ele também diz que a empresa só começou a investigar depois que dados roubados de usuários já haviam aparecido à venda na dark web e depois que pedidos de resgate surgiram.

Divulgação e dano

Outro ponto importante da ação é que a 23andMe supostamente minimizou a violação ao informar os clientes. Bonta argumenta que a empresa omitiu informações críticas e afirmou que o recurso DNA Relatives era, essencialmente, público, mesmo enquanto negociava em sigilo com os invasores.

O texto-fonte acrescenta uma dimensão especialmente grave: o conjunto de dados à venda teria destacado informações envolvendo usuários asiático-americanos e das ilhas do Pacífico, além de usuários judeus. Na versão do estado, esse contexto elevou o risco de uso indevido direcionado além da exposição comum à privacidade.

Por que este caso importa

Não se trata apenas de mais uma ação sobre violação contra uma empresa de tecnologia voltada ao consumidor. Ela envolve dados genéticos, que têm um nível diferente de sensibilidade porque podem revelar predisposições de saúde, vínculos familiares e traços de ancestralidade que os usuários não podem simplesmente redefinir como uma senha. O caso da Califórnia testa, portanto, até onde sobem as expectativas de proteção de dados quando a informação subjacente é biologicamente íntima e potencialmente duradoura.

Para o setor em geral, o processo também é um alerta sobre métodos de ataque conhecidos. Credential stuffing não é algo novo, e a posição do estado parece ser que padrões de ataque comuns não desculpam defesas fracas, especialmente quando as empresas recebem a confiança de armazenar registros extremamente sensíveis.

O caso pode moldar as expectativas tanto sobre arquitetura de segurança quanto sobre divulgação de violações em genômica de consumo. No mínimo, ele mostra que os reguladores estão dispostos a tratar falhas com dados genéticos como algo mais do que incidentes cibernéticos padrão.

Este artigo é baseado em reportagem da Engadget. Leia o artigo original.