La infracción de 23andMe se dirigió a clientes judíos y chinos, según la demanda

La empresa de pruebas genéticas 23andMe está siendo acusada en una demanda colectiva de no proteger la privacidad de los clientes cuya información personal quedó expuesta el año pasado en una violación de datos que afectó a casi siete millones de perfiles.

La demanda, que se presentó el viernes en un tribunal federal de San Francisco, también acusó a la empresa de no notificar a los clientes de ascendencia china y judía asquenazí que parecían haber sido atacados específicamente, o que su información genética personal había sido compilada en » listas especialmente seleccionadas” que se compartieron y vendieron en la web oscura.

La demanda se presentó después de que 23andMe presentara una notificación a la Oficina del Fiscal General de California que mostraba que la empresa fue pirateada en el transcurso de cinco meses, desde finales de abril de 2023 hasta septiembre de 2023, antes de que tuviera conocimiento de la infracción. Según el expediente, que fue informado por TechCrunchLa compañía se enteró de la violación el 1 de octubre, cuando un pirata informático publicó en un subreddit no oficial de 23andMe afirmando tener datos de clientes y compartiendo una muestra como prueba.

La empresa reveló por primera vez la infracción. en una publicación de blog el 6 de octubre en el que decía que un «actor amenazador» había obtenido acceso a «ciertas cuentas» mediante el uso de «credenciales de inicio de sesión recicladas»: contraseñas antiguas que los clientes de 23andMe habían utilizado en otros sitios que habían sido comprometidos.

La compañía reveló el alcance total de la infracción en una publicación de blog actualizada el 5 de diciembre, después de completar una revisión interna asistida por «expertos forenses externos». En ese momento, según Eli Wade-Scott, abogado de los demandantes, la información genética personal de los usuarios y otro material sensible ya habían estado disponibles y puestos a la venta en la web oscura durante dos meses.

23andMe no respondió de inmediato a las solicitudes de comentarios sobre la demanda.

Jay Edelson, otro abogado que representa a los demandantes, dijo que el enfoque de 23andMe hacia la privacidad y la demanda resultante marcaron «un cambio de paradigma en la ley de privacidad del consumidor» a medida que ha aumentado la sensibilidad de los datos violados.

«Ahora, cuando analizamos las filtraciones de datos, nuestra primera preocupación será si la información se utilizará para acosar físicamente o dañar a las personas de forma sistemática y masiva», dijo Edelson en un correo electrónico el viernes. «El estándar sobre cuándo una empresa actúa razonablemente para proteger los datos es ahora más alto, al menos para el tipo de datos que se pueden utilizar de esta manera».

Un padre de dos hijos en Florida, que es uno de los dos demandantes nombrados en la demanda, dijo en una entrevista que el kit de 23andMe que se compró como regalo de cumpleaños el año pasado revelaba que tenía herencia judía asquenazí. El hombre, identificado en la denuncia sólo por sus iniciales, JL, habló bajo condición de anonimato porque dijo que temía por su seguridad.

Estaba buscando conectarse con familiares, dijo, por lo que optó por una función llamada DNA Relatives, donde se comparte información selecta con otros clientes de 23andMe que podrían tener una coincidencia genética cercana.

El pirata informático obtuvo acceso a esta función y a información de 5,5 millones de perfiles de DNA Relatives, dijo 23andMe en diciembre. Los perfiles pueden incluir la ubicación geográfica del cliente, el año de nacimiento, el árbol genealógico y las fotografías cargadas.

El pirata informático también pudo acceder a la información de perfil de 1,4 millones de clientes adicionales accediendo a una función llamada Family Tree.

Después de que 23andMe informara a JL y a millones de otros usuarios que sus datos habían sido violados, JL dijo que temía poder convertirse en un objetivo como objetivo. discurso de odio antisemita y la violencia estaba aumentando, alimentada por el conflicto entre Israel y Gaza.

«Ahora que la información está disponible», dijo, «alguien podría entrar y decidir que van a descargar sus frustraciones».

El 1 de octubre, según la demanda, un hacker, que se hacía llamar «Golem» y usaba una imagen de Gollum de las películas «El Señor de los Anillos» como avatar, filtró los datos personales de más de 1 millón de usuarios de 23andMe con Ascendencia judía en BreachForums, un foro en línea utilizado por ciberdelincuentes. Los datos incluían los nombres completos de los usuarios, domicilios y fechas de nacimiento.

Más tarde, en respuesta a una solicitud en el foro de acceso a “cuentas chinas” de alguien que usaba el alias “Wuhan”, Golem respondió con un enlace a la información del perfil de 100.000 clientes chinos, según la demanda. Golem dijo que tenía un total de 350.000 registros de perfiles de clientes chinos y se ofreció a liberar el resto si había interés, según la demanda.

El 17 de octubre, Golem regresó al foro para decir que tenía datos sobre “familias ricas que sirven al sionismo” que estaba ofreciendo a la venta después del ataque. Explosión mortal en el hospital árabe Al-Ahli en la ciudad de Gaza, según la demanda. Los funcionarios israelíes y los militantes palestinos se culparon mutuamente por la explosión, pero las agencias de inteligencia israelíes y estadounidenses sostienen que fue causada por un lanzamiento fallido de un cohete palestino.

Los demandantes buscan un juicio con jurado y daños compensatorios, punitivos y de otro tipo no especificados.

«El actual clima geopolítico y social», argumentó la demanda, «amplifica los riesgos» para los usuarios cuyos datos estuvieron expuestos. El representante Josh Gottheimer, demócrata de Nueva Jersey, pidió una investigación del FBI a principios de este mes, señalando el enfoque en los judíos asquenazíes.

“Los datos filtrados podrían empoderar a Hamás, a sus partidarios y a varios grupos extremistas internacionales para atacar a la población judía estadounidense y sus familias”, escribió Gottheimer en una carta a Christopher Wray, director del FBI.

Ramesh Srinivasan, profesor del departamento de estudios de la información de la Universidad de California en Los Ángeles, dijo que era inevitable que este tipo de violaciones continuaran.

La pregunta, dijo, es si las empresas los abordarán tomando precauciones serias (reforzando la seguridad o limitando la retención de datos, por ejemplo) o si simplemente aplicarán una curita prometiendo hacerlo mejor la próxima vez.

«Estamos mirando al abismo cuando se trata de la datificación de nuestras vidas», dijo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *