La società di test genetici 23andMe ha accettato di pagare 30 milioni di dollari per risolvere una causa legale collettiva in seguito a una violazione dei dati avvenuta nel 2023. La violazione ha compromesso i profili genetici di circa 5,5 milioni di persone e ha permesso agli hacker di accedere a informazioni sensibili come i profili Family Tree di 1,4 milioni di partecipanti al programma DNA Relatives.
L’attacco, iniziato ad aprile 2023 e scoperto solo a settembre dello stesso anno, ha sfruttato una tecnica di credential stuffing, attraverso la quale gli hacker hanno utilizzato credenziali già violate in precedenti attacchi. 23andMe ha inizialmente attribuito la responsabilità agli utenti, affermando che la maggior parte delle password era stata riutilizzata in modo negligente.
Termini dell’accordo
Oltre ai 30 milioni di dollari che saranno distribuiti tra le vittime della violazione, 23andMe ha accettato di condurre scansioni di sicurezza annuali e audit di sicurezza informatica per i prossimi tre anni. L’azienda creerà un sito web dedicato per informare i clienti eleggibili e consentire loro di eliminare tutti i propri dati dai server aziendali. Inoltre, i clienti colpiti riceveranno gratuitamente un programma di Privacy & Medical Shield e monitoraggio genetico per tre anni.
La risoluzione della causa potrebbe influenzare significativamente le condizioni finanziarie di 23andMe, che ha riportato un calo dei ricavi annuali del 25%, scendendo da 299 milioni di dollari a 220 milioni.
