Британский регулятор в сфере защиты данных оштрафовал компанию 23andMe на 2,31 млн фунтов стерлингов (3,1 млн долларов) за несоблюдение мер защиты персональной и генетической информации жителей Великобритании до утечки данных в 2023 году.
Офис Уполномоченного по информации (ICO) заявил во вторник, что штраф был наложен, поскольку на момент кибератаки компания «не внедрила дополнительные этапы проверки для доступа пользователей к их необработанным генетическим данным и их загрузки».
В 2023 году хакеры похитили личные данные более 6,9 млн пользователей [https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/] в ходе многоэтапной атаки, получив доступ к тысячам аккаунтов с использованием украденных учетных данных. 23andMe не требовала от пользователей использовать многофакторную аутентификацию, что, по мнению ICO, нарушило закон о защите данных Великобритании.
ICO сообщил, что данные более 155 тыс. жителей Великобритании были скомпрометированы в результате инцидента.
В ответ на штраф представители 23andMe заявили TechCrunch, что компания ввела обязательную многофакторную аутентификацию [https://techcrunch.com/2023/11/07/23andme-ancestry-myheritage-two-factor-by-default/] для всех аккаунтов.
ICO сообщил, что поддерживает контакт с доверительным управляющим 23andMe после того, как компания подала заявление на защиту от банкротства [https://techcrunch.com/2025/03/23/dna-testing-company-23andme-files-for-bankruptcy-protection-ceo-resigns/]. Слушание по вопросу продажи активов 23andMe запланировано на вторник.