جریمه ۱۸ میلیون دلاری شرکت 23 اندمی
به گزارش کارگروه بین الملل خبرگزاری سایبربان، این توافق علاوه بر پرداخت جریمه، شرکت را ملزم میکند مجموعهای از اقدامات جدید برای حفاظت از دادههای کاربران اجرا کند.
مسئولیت اجرای این تعهدات بر عهده مؤسسه تحقیقاتی 23 اندمی (23andMe Research Institute) خواهد بود؛ نهادی غیرانتفاعی که در ماه مه ۲۰۲۵ توسط «آن ووجیتسکی»، مدیرعامل 23 اندمی، تأسیس شد و پس از خرید داراییهای شرکت، کنترل دادههای ژنتیکی و سایر داراییهای آن را در اختیار گرفت.
بر اساس مفاد توافق، این مؤسسه باید ارزیابیهای منظم ریسک امنیتی انجام دهد، یک هیئت نظارتی ویژه برای کنترل امنیت دادهها تشکیل دهد و حقوق کاربران برای حذف نمونههای ژنتیکی و پاکسازی دائمی اطلاعات شخصی خود را بدون محدودیت زمانی حفظ کند.
حمله سایبری مورد بحث در اکتبر ۲۰۲۳ رخ داد، اما 23 اندمی ماهها بعد از وقوع آن از ابعاد واقعی حادثه مطلع شد.
بخشی از اطلاعات سرقتشده نیز در ادامه در دارکوب منتشر شد.
دادههای افشاشده شامل اطلاعات شخصی کاربران و همچنین جزئیات مربوط به تبار و پیشینه ژنتیکی آنها بود.
دفتر «لتیشیا جیمز»، دادستان کل نیویورک، اعلام کرد شرکت در ابتدا وقوع نشت اطلاعات را انکار کرده و پس از تأیید حادثه نیز کاربران را مقصر دانسته بود.
به گفته مقامهای قضایی، شرکت مدعی شده بود نحوه تنظیم حسابهای کاربری و استفاده از گذرواژهها توسط مشتریان عامل اصلی حادثه بوده است.
تحقیقات مشترک ایالتها نشان داد که 23 اندمی در چندین بخش کلیدی امنیت سایبری دچار ضعف بوده است.
از جمله این مشکلات میتوان به نبود سازوکار مناسب برای مقابله با حملات مبتنی بر اطلاعات کاربری سرقتشده، ضعف در سامانههای تشخیص و جلوگیری از نفوذ، نبود ثبت و پایش مناسب رویدادهای امنیتی و همچنین بیتوجهی به رفع آسیبپذیریهای شناختهشده اشاره کرد.
محققان همچنین اعلام کردند شرکت الگوهای غیرعادی ورود کاربران را بررسی نمیکرد و پیش از اعمال تغییرات جدید در سامانههای خود نیز آزمایشهای امنیتی کافی انجام نداده بود.
23 اندمی در مارس ۲۰۲۵ درخواست حمایت در برابر ورشکستگی را ثبت کرد.
چند ماه بعد، دادگاه ورشکستگی ایالت میزوری با طرحی موافقت کرد که بر اساس آن قربانیان این نشت اطلاعات از صندوقی به ارزش ۴۷ میلیون دلار غرامت دریافت خواهند کرد.
در ژوئیه ۲۰۲۵، مؤسسه تحقیقاتی تحت مدیریت ووجیتسکی با پرداخت ۳۰۵ میلیون دلار داراییهای 23 اندمی را خریداری کرد.
این معامله شامل دادههای ژنتیکی کاربرانی نیز میشد که پیشتر درخواست حذف اطلاعات خود را ثبت نکرده بودند.
این مؤسسه اعلام کرده است که به سیاستهای حریم خصوصی 23 اندمی پایبند خواهد ماند و دادههای کاربران را بدون حکم قانونی در اختیار کارفرمایان، شرکتهای بیمه، نهادهای دولتی یا پلیس قرار نخواهد داد.
با این حال، روند اشتراکگذاری و فروش دادههای ناشناسسازیشده برای تحقیقات زیستپزشکی همچنان ادامه خواهد یافت.