وافقت شركة 23andMe الأمريكية الناشئة في مجال تحليل الجينات على دفع 30 مليون دولار كتعويض للعملاء المتضررين لتسوية دعوى قضائية جماعية[1]. يأتي هذا التسوية في أعقاب خرق هائل للبيانات في عام 2023، حيث تمكن مجرمون من الوصول إلى بيانات أكثر من 6.9 مليون مستخدم[1].
تفاصيل الحادث
يبدو أن المتسللين استهدفوا بشكل خاص المعلومات الجينية للمستخدمين من أصل يهودي أشكنازي وصيني[1]. بالإضافة إلى معلومات العملاء المباشرة، تم أيضًا الاستيلاء على بيانات الأقارب المحتملين الذين كانوا مرتبطين بالملفات الشخصية عبر ميزة المنصة "DNA Relatives"[1].
التعويضات وتدابير السلامة
بالإضافة إلى التعويض المالي، من المتوقع أن يحصل المتضررون على إمكانية الوصول إلى برنامج مراقبة أمني لمدة ثلاث سنوات[1]. لا يمكن للشركة تحمل مبلغ التعويض البالغ 30 مليون دولار إلا لأنه من المتوقع أن تغطي وثيقة تأمين 25 مليون دولار[1].
التسلسل الزمني والنطاق
أعلنت 23andMe عن تسرب البيانات لأول مرة في أكتوبر 2023، لكن النطاق الكامل لم يتضح إلا في ديسمبر من نفس العام[1]. في البداية، تحدثت الشركة فقط عن إمكانية الوصول إلى بعض مجموعات بيانات الجينات والبيانات الصحية[1].
طريقة المتسللين
لم يستخدم المهاجمون طريقة "حشو بيانات الاعتماد" (Credential Stuffing) فحسب، والتي يتم فيها تجربة بيانات تسجيل الدخول المسروقة على منصات مختلفة[1]. بل قاموا أيضًا بالاستيلاء على معلومات جينية للأقارب المحتملين للضحايا وبيعها[1].
تحقيقات دولية
بالإضافة إلى الدعوى القضائية الجماعية في الولايات المتحدة، تخطط السلطات في المملكة المتحدة وكندا أيضًا للتحقيق في تسرب البيانات[1]. تم عرض البيانات المسروقة في الشبكة المظلمة في ثلاث حزم مختلفة، بما في ذلك مجموعات محددة تحتوي على معلومات جينية من المستخدمين من أصل يهودي أشكنازي وصيني[1].
يؤكد هذا الحادث على المخاطر الأمنية المتزايدة في مجال بيانات الصحة الرقمية ويثير تساؤلات حول مسؤولية الشركات في التعامل مع المعلومات الجينية الحساسة.
المصدر:
[1] 23andme: شركة تحليل الجينات المخترقة تضطر لدفع 30 مليون دولار كتعويض https://www.heise.de/news/23andme-Gehacktes-Genanalyse-Start-up-muss-30-Millionen-Schadensersatz-zahlen-9873350.html
