O procurador-geral da Califórnia está processando a empresa de testes genéticos de consumo anteriormente conhecida como 23andMe, alegando que a empresa falhou em proteger as informações pessoais confidenciais dos clientes em uma violação massiva de dados em 2023 que expôs a ancestralidade e os dados genéticos de quase 7 milhões de pessoas.
O procurador-geral Rob Bonta abriu o processo na quinta-feira no Tribunal Superior de São Francisco contra a Chrome Holding Co., anteriormente conhecida como 23andMe, acusando a empresa de não investigar adequadamente ou responder a vários avisos de que seus sistemas foram comprometidos. Os kits de autoteste enviados pelo correio da empresa tornaram-se sinônimos de testes de DNA antes de ela entrar com pedido de falência em 2025.
Em 2023, os cibercriminosos violaram os sistemas da 23andMe usando um “ataque de preenchimento de credenciais”, que envolve bombardear contas on-line com enormes conjuntos de nomes de usuário e senhas roubados em ataques anteriores não relacionados. Durante um período de meses, os invasores conseguiram roubar os dados pessoais de mais de 6,9 milhões de pessoas.
“As medidas de segurança da 23andMe eram tão frouxas que o ator da ameaça foi capaz de operar sem ser detectado nos sistemas da 23andMe por mais de cinco meses e, surpreendentemente, a 23andMe só começou a investigar depois que o ator da ameaça ofereceu os dados roubados do usuário para venda na darkish internet e entrou em contato com a 23andMe para exigir um resgate”, disse o escritório de Bonta na denúncia.
A empresa sediada em São Francisco, que permitia às pessoas enviar materiais genéticos e obter um instantâneo de sua ancestralidade, revelado em outubro de 2023, que hackers acessaram informações de clientes na violação prolongada de dados que teve como alvo clientes com ascendência chinesa ou judaica ashkenazi. Os dados roubados de mais de 1 milhão de usuários das ilhas da Ásia-Pacífico e judeus Ashkenazi foram posteriormente colocados à venda na darkish internet.
“A venda desses dados na darkish internet ocorreu em meio a um período de crescente ódio e violência anti-asiático-americano e das ilhas do Pacífico e antissemita”, disse Bonta em um comunicado à imprensa. “Isso é perturbador e incrivelmente perigoso.”
Uma ação judicial de janeiro de 2024 acusou a empresa de não fazer o suficiente para proteger seus clientes e de não notificar determinados clientes de que seus dados haviam sido direcionados especificamente. Mais tarde, resolveu o processo por US$ 30 milhões.
Os representantes da 23andMe não responderam imediatamente a um pedido de comentário.
No seu auge, a 23andMe tornou-se o nome mais conhecido na área emergente do autoteste de ADN, com os utilizadores a pagarem mais de 99 dólares por kits que lhes davam informações sobre a sua composição genética, potenciais parentes e ascendência. Mas o dinamismo da empresa abrandou nos últimos anos, após a sua oferta pública de 3,5 mil milhões de dólares em 2021.
Em julho passado, o TTAM Analysis Institute, uma organização sem fins lucrativos liderada por Anne Wojcicki, cofundadora e ex-CEO da 23andMe, adquiriu os ativos da 23andMe por US$ 305 milhões.
