Od DNK testa do bankrota: Hakeri srušili giganta, plaćaju 50 miliona

Kompanija Chrome Holding Co., ranije poznata kao 23andMe, suočava se sa tužbom koju je podneo generalni tužilac Kalifornije Rob Bonta zbog masovnog narušavanja bezbednosti podataka iz 2023. godine, kada su ugroženi osetljivi podaci miliona ljudi. 

Bonta optužuje kompaniju da je obmanjivala korisnike i da nije uspela da zaštiti njihove osetljive lične podatke i genetske podatke koji se odnose na njihovo zdravlje, genetske predispozicije i faktore rizika, biološke rođake, poreklo i etničku pripadnost. U tužbi se navodi da je ovaj incident pogodio sedam miliona korisnika širom SAD, od kojih su 855.541 bili stanovnici Kalifornije.

Kompanija 23andMe, koja je korisnicima nudila komplete za DNK testiranje kako bi saznali svoje poreklo i genetske zdravstvene rizike, priznala je još 2023. godine da su hakeri uspeli da pristupe nalozima korisnika putem tehnike "credential stuffing" (isprobavanje prethodno ukradenih korisničkih imena i lozinki). Bonta je istakao da bi kompanije, a naročito one koje prikupljaju genetske podatke, morale da znaju kako da se odbrane od tako uobičajene metode sajber napada.

Međutim, nije samo "credential stuffing" omogućio hakerima da ukradu milione privatnih informacija. Nakon što su iskoristili tu metodu napada da upadnu u 14.000 naloga, potom su iskoristili ranjivost u okviru opcije "DNA Relatives" (DNK rođaci) na sajtu kako bi pristupili podacima još većeg broja korisnika. Bonta je izjavio da su bezbednosne mere kompanije bile toliko slabe da su hakeri uspeli da deluju neprimećeno unutar njenog sistema punih pet meseci. Dodao je da je kompanija pokrenula istragu tek nakon što su napadači već počeli da prodaju ukradene podatke korisnika na mračnom vebu (dark web) i da traže otkupninu.

Bonta je optužio 23andMe da je prećutao ključne informacije kada je obaveštavao korisnike o proboju podataka. Prema njegovim rečima, kompanija je umanjivala značaj osetljivosti ukradenih podataka i tvrdila da je opcija "DNA Relatives" praktično javna, dok je istovremeno tajno pregovarala sa hakerima koji su posebno isticali da se među podacima koje prodaju nalaze i informacije o korisnicima azijsko-američkog porekla, porekla sa pacifičkih ostrva, kao i o korisnicima jevrejskog porekla.

"Prodaja ovih podataka na mračnom vebu odvijala se u periodu porasta mržnje i nasilja prema Amerikancima azijskog porekla, porekla sa pacifičkih ostrva, kao i u periodu antisemitizma – i eksplicitno je skrenula pažnju na duboko ličnu prirodu tih informacija i mogućnost identifikacije", napisao je Bonta. "Ovo je uznemirujuće i neverovatno opasno".

Kompanija 23andMe je podnela zahtev za bankrot u martu 2025. Kako navodi agencija AP, kompanija se takođe suočila sa kolektivnom tužbom koja ju je teretila da nije zaštitila svoje korisnike, a sudija koji vodi postupak bankrota odobrio je nagodbu u iznosu od 50 miliona dolara ranije ove godine.