Volgens de rechtszaak was de inbreuk van 23andMe gericht op Joodse en Chinese klanten

By | January 27, 2024

Genetisch testbedrijf 23andMe wordt in een class action-rechtszaak beschuldigd van het niet beschermen van de privacy van klanten wier persoonlijke informatie vorig jaar aan het licht kwam bij een datalek dat bijna zeven miljoen profielen trof.

De rechtszaak, vrijdag ingediend bij de federale rechtbank in San Francisco, beschuldigde het bedrijf er ook van dat het klanten met een Chinese en Asjkenazische Joodse achtergrond niet had geïnformeerd dat ze het doelwit leken te zijn of dat hun persoonlijke genetische informatie in ““ was verzameld. “speciaal samengestelde lijsten” die op het dark web werden gedeeld en verkocht.

De rechtszaak werd aangespannen nadat 23andMe een kennisgeving had ingediend bij het California Attorney General’s Office waarin werd aangegeven dat het bedrijf in de loop van vijf maanden, van eind april 2023 tot september 2023, was gehackt voordat het zich bewust werd van de inbreuk. Volgens de door TechCrunch gerapporteerde indiening hoorde het bedrijf op 1 oktober van de inbreuk, toen een hacker op een onofficiële 23andMe-subreddit beweerde klantgegevens te hebben en een voorbeeld als bewijs deelde.

Het bedrijf onthulde de inbreuk voor het eerst op 6 oktober in een blogpost waarin stond dat een “bedreigingsacteur” toegang kreeg tot “bepaalde accounts” door gebruik te maken van “gerecyclede inloggegevens” – oude wachtwoorden die klanten van 23andMe hadden gebruikt op andere websites die waren gecompromitteerd.

Het bedrijf maakte de volledige omvang van de inbreuk bekend in een bijgewerkte blogpost op 5 december, na voltooiing van een interne beoordeling met hulp van ‘externe forensische experts’. Op dat moment waren de persoonlijke genetische informatie en ander gevoelig materiaal van gebruikers gedurende twee maanden beschikbaar gesteld en te koop aangeboden op het dark web, aldus Eli Wade-Scott, een advocaat van de eisers.

23andMe reageerde niet onmiddellijk op verzoeken om commentaar op de rechtszaak.

Jay Edelson, een andere advocaat die de eisers vertegenwoordigt, zei dat 23andMe’s benadering van privacy en de daaruit voortvloeiende rechtszaak een signaal waren van “een paradigmaverschuiving in de privacywetgeving voor consumenten”, aangezien de gevoeligheid van geschonden gegevens is toegenomen.

“Als we nu naar datalekken kijken, zal onze eerste zorg zijn of de informatie zal worden gebruikt om mensen systematisch en massaal fysiek lastig te vallen of schade toe te brengen”, zei de heer Edelson vrijdag in een e-mail. “De norm voor wanneer een bedrijf op passende wijze zal optreden om data te beschermen ligt nu hoger, tenminste voor het soort data dat op deze manier kan worden gebruikt.”

Een vader van twee kinderen in Florida, een van de twee genoemde eisers in de rechtszaak, zei in een interview dat het 23andMe-pakket dat hij vorig jaar als verjaardagscadeau kocht, aantoonde dat hij van Ashkenazi-joodse afkomst was. De man, in de klacht alleen geïdentificeerd met zijn initialen, JL, sprak op voorwaarde van anonimiteit omdat hij zei dat hij vreesde voor zijn veiligheid.

Hij wilde contact maken met familieleden, zei hij, dus besloot hij tot een functie genaamd DNA Relatives, die geselecteerde informatie deelt met andere 23andMe-klanten die mogelijk een goede genetische match zijn.

De hacker kreeg toegang tot deze functie en informatie uit 5,5 miljoen DNA-relatieve profielen, zei 23andMe in december. Profielen kunnen de geografische locatie van een klant, geboortejaar, stamboom en geüploade foto’s bevatten.

De hacker kreeg ook toegang tot de profielinformatie van nog eens 1,4 miljoen klanten via een functie genaamd ‘Family Tree’.

Nadat 23andMe JL en miljoenen andere gebruikers had geïnformeerd dat hun gegevens waren gelekt, zei JL dat hij vreesde dat hij een doelwit zou kunnen worden naarmate antisemitische haatzaaiende uitlatingen en geweld toenamen, aangewakkerd door het conflict tussen Israël en Gaza.

‘Nu de informatie bekend is,’ zei hij, ‘komt er misschien iemand binnen die besluit dat hij zijn frustraties gaat uiten.’

Op 1 oktober lekte een hacker die zichzelf ‘Golem’ noemde en een afbeelding van Gollum uit de ‘Lord of the Rings’-films als avatar gebruikte, de persoonlijke gegevens van meer dan 1 miljoen 23andMe-gebruikers van Joodse afkomst op BreachForums, aldus de rechtszaak, een online forum dat wordt gebruikt door cybercriminelen. De gegevens omvatten de volledige namen van gebruikers, thuisadressen en geboortedata.

Later reageerde Golem op een verzoek op het forum om toegang te krijgen tot ‘Chinese accounts’ van iemand die het pseudoniem ‘Wuhan’ gebruikte met een link naar de profielinformatie van 100.000 Chinese klanten, aldus de rechtszaak. Golem zei dat het in totaal 350.000 profielgegevens van Chinese klanten had en had aangeboden de rest vrij te geven als er interesse was, aldus de rechtszaak.

Op 17 oktober keerde Golem terug naar het forum en zei dat hij gegevens had over ‘rijke families die het zionisme dienden’ die hij te koop had aangeboden na de dodelijke explosie in het Al-Ahli Arab Hospital in Gaza-stad, volgens de claimverklaring. Israëlische functionarissen en Palestijnse militanten gaven elkaar de schuld van de explosie, maar Israëlische en Amerikaanse inlichtingendiensten beweren dat deze werd veroorzaakt door een mislukte Palestijnse raketlancering.

De eisers eisen een juryproces en niet-gespecificeerde compenserende, punitieve en andere schadevergoedingen.

“Het huidige geopolitieke en sociale klimaat”, zegt de rechtszaak, “vergroot de risico’s” voor gebruikers wier gegevens openbaar zijn gemaakt. Afgevaardigde Josh Gottheimer, Democraat van New Jersey, riep eerder deze maand op tot een FBI-onderzoek naar de inbreuk, waarbij hij opmerkte dat de nadruk lag op Asjkenazische Joden.

“De gelekte gegevens zouden Hamas, zijn aanhangers en verschillende internationale extremistische groeperingen in staat kunnen stellen zich te richten op de Amerikaans-Joodse bevolking en hun families”, schreef de heer Gottheimer in een brief aan Christopher Wray, de directeur van de FBI.

Ramesh Srinivasan, professor aan de afdeling informatiewetenschappen van de Universiteit van Californië, Los Angeles, zei dat het onvermijdelijk was dat dergelijke inbreuken zouden voortduren.

De vraag is, zei hij, of bedrijven deze problemen met serieuze voorzorgsmaatregelen zullen aanpakken – bijvoorbeeld door de beveiliging aan te scherpen of de gegevensopslag te beperken – of dat ze eenvoudigweg een pleister zullen aanbrengen door te beloven dat ze het de volgende keer beter zullen doen.

“We staren in de afgrond als het gaat om de dataficatie van ons leven”, zei hij.

Leave a Reply

Your email address will not be published. Required fields are marked *