La startup estadounidense de análisis genético 23andMe ha acordado pagar 30 millones de dólares en concepto de indemnización a los clientes afectados para resolver una demanda colectiva[1]. El acuerdo se produce tras una filtración masiva de datos en 2023, en la que los delincuentes obtuvieron acceso a los datos de más de 6,9 millones de usuarios[1].
Detalles del incidente
Los hackers aparentemente se dirigieron específicamente a la información genética de usuarios de origen judío asquenazí y chinos[1]. Además de la información directa de los clientes, también se obtuvieron datos de posibles familiares vinculados a los perfiles a través de la función de la plataforma "ADN Relatives"[1].
Compensación y medidas de seguridad
Además de la compensación económica, se espera que los afectados reciban acceso a un programa de vigilancia de seguridad durante tres años[1]. La empresa solo puede afrontar la suma de indemnización de 30 millones de dólares porque se espera que 25 millones estén cubiertos por un seguro[1].
Cronología y alcance
23andMe anunció inicialmente la filtración de datos en octubre de 2023, pero el alcance total solo se hizo evidente en diciembre de ese mismo año[1]. Inicialmente, la empresa solo habló de un posible acceso a algunos conjuntos de datos genéticos e información de salud[1].
Método de los hackers
Los atacantes no solo utilizaron el método de "Credential Stuffing", que consiste en probar credenciales de inicio de sesión robadas en diferentes plataformas[1]. También obtuvieron y vendieron información genética de posibles familiares de las víctimas[1].
Investigaciones internacionales
Además de la demanda colectiva en EE. UU., las autoridades del Reino Unido y Canadá también investigarán la filtración de datos[1]. Los datos robados se ofrecieron en la dark web en tres paquetes diferentes, incluidas colecciones específicas con información genética de usuarios de origen judío asquenazí y chinos[1].
Este incidente subraya los crecientes riesgos de seguridad en el ámbito de los datos de salud digitales y plantea interrogantes sobre la responsabilidad de las empresas en el manejo de información genética sensible.
Fuente:
[1] 23andme: La startup de análisis genético hackeada debe pagar 30 millones en indemnizaciones https://www.heise.de/news/23andme-Gehacktes-Genanalyse-Start-up-muss-30-Millionen-Schadensersatz-zahlen-9873350.html
