23andMe é multada em £ 2,3 milhões no Reino Unido por falhas em vazamento de dados

A empresa de testes genéticos 23andMe foi multada em mais de £ 2,3 milhões pelo órgão regulador de proteção de dados do Reino Unido, após um vazamento que comprometeu informações pessoais de mais de 150 mil residentes britânicos. O ataque cibernético, ocorrido em 2023, expôs dados sensíveis como nomes, endereços, históricos de saúde e árvores genealógicas, segundo apuração do The Guardian.

O episódio só foi confirmado publicamente meses depois, quando um funcionário da empresa identificou parte dos dados sendo comercializados no Reddit.

A investigação conduzida pelo Information Commissioner’s Office (ICO), equivalente à autoridade de proteção de dados no Reino Unido, apontou que a empresa falhou em implementar medidas básicas de segurança.

De acordo com o ICO, a falha afetou não apenas usuários no Reino Unido, mas também milhões de clientes globalmente. Ao todo, cerca de 7 milhões de pessoas tiveram seus dados comprometidos no episódio.

Leia também: Andrea Ribeiro: do Service Desk à elite global da Nutanix com a missão compartilhar conhecimento

A 23andMe oferece serviços de mapeamento genético com base em kits de saliva, que custam £ 89, permitindo que os clientes conheçam suas origens e composição étnica. Após o incidente, muitos usuários solicitaram a exclusão de seus dados da base da empresa. Em março deste ano, a companhia entrou com pedido de recuperação judicial nos Estados Unidos.

A multa foi aplicada no mesmo momento em que Anne Wojcicki, cofundadora e ex-CEO da empresa, lidera uma proposta de recompra da 23andMe no valor de US$ 305 milhões, em meio ao processo de leilão na recuperação judicial.

“Vazamento grave”

O órgão regulador britânico classificou o vazamento como extremamente grave, uma vez que envolveu dados impossíveis de serem alterados, como informações genéticas e registros familiares, diferentemente de senhas ou cartões de crédito.

A investigação apontou que a empresa não adotou mecanismos básicos, como autenticação robusta dos usuários, o que facilitou a atuação dos hackers. Eles exploraram uma vulnerabilidade comum, conhecida como credential stuffing, que consiste no uso de senhas reutilizadas e vazadas em outros ataques para acessar contas em diferentes serviços.

De acordo com o ICO, havia sinais claros de risco, mas a empresa demorou a reagir, deixando os dados dos clientes expostos por meses. A investigação contou com apoio da autoridade de proteção de dados do Canadá.

Em resposta, a 23andMe informou ao The Guardian que adotou uma série de medidas para reforçar sua segurança, incluindo monitoramento gratuito contra roubo de identidade por dois anos para os clientes afetados.

Além disso, a proposta de aquisição liderada por Wojcicki, por meio do instituto sem fins lucrativos TTAM Research Institute, prevê compromissos vinculativos de proteção dos dados dos usuários, como o direito de excluir informações a qualquer momento e a garantia de que os dados genéticos não serão vendidos nem transferidos, mesmo em caso de falência ou mudança de controle da empresa.

O ICO tem aplicado multas milionárias em empresas que falham na proteção de dados. Em 2022, a construtora Interserve foi penalizada em £ 4,4 milhões após um vazamento que expôs informações como dados bancários, orientação sexual e registros de saúde dos funcionários. Mais recentemente, em março deste ano, a fornecedora de TI do NHS, Advanced Computer Software Group, foi multada em quase £ 3,1 milhões por falhas semelhantes.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!