DNA検査大手の23andMeは、2023年に640万人の顧客の個人情報が流出したデータ流出に関する訴訟を解決するため、3000万ドルを支払うことに合意した。
サンフランシスコの連邦裁判所に木曜日に提出され、司法の承認を待っている集団訴訟の和解案には、影響を受けた顧客への現金支払いが含まれており、最終承認後10日以内に分配される。
「23andMe社は、この和解案が公正かつ適切で合理的なものであると確信している」と、同社は金曜日に提出した覚書の中で述べている。
23andMeはまた、クレデンシャル・スタッフィング攻撃に対する保護、全ユーザーに対する2要素認証の義務付け、毎年のサイバーセキュリティ監査など、セキュリティ・プロトコルの強化に同意した。
同社はまた、データ侵害インシデント対応計画を作成・維持し、非アクティブまたは停止したアカウントの個人データの保持を停止しなければならない。また、全従業員に対し、年1回のトレーニングで最新の情報セキュリティ・プログラムを提供する。
「23andMeは、訴状に記載された請求と申し立てを否定し、消費者とユーザーの個人情報を適切に保護できなかったことを否定し、さらに和解集団代表の法定損害賠償請求の実行可能性を否定する」と、同社は提出された予備的和解案で述べている。
「23andMeはいかなる不正行為も否定しており、本契約はいかなる過失、責任、不正行為、損害の請求に関しても、いかなる場合においても23andMe側の証拠と解釈されたり、認めたり譲歩したものとみなされたりすることはない。
この和解は、遺伝子検査会社がユーザーのプライバシーの保護を怠り、ハッカーが特にユーザーを標的にし、彼らの情報がダークウェブで売りに出されていることを顧客に知らせなかったという主張に対処するものである。
クレデンシャル・スタッフィング攻撃で盗まれたデータ
2023年10月、23andMeは、漏洩したアカウントを通じて顧客プロファイルへの不正アクセスが発生したことを明らかにした。ハッカーは、他の侵害から盗まれた認証情報を悪用して23andMeのアカウントにアクセスした。
侵害が発覚した後、同社は同様のインシデントを阻止するため、顧客にパスワードのリセットを義務付け、11月からデフォルトで2要素認証を有効にするなどの対策を実施した。
10月からは、23andMeの非公式サブレディットやBreachForumsのようなハッキング・フォーラムで、脅威者が英国内の410万人と100万人のアシュケナージ・ユダヤ人のデータ・プロファイルを流出させた。
23andMeは12月に、640万人の米国居住者の情報を含む690万人の顧客のデータが侵害でダウンロードされたと発表した。
同社は1月にも、攻撃者が4月から9月までの5カ月間にわたってクレデンシャル・スタッフィング攻撃で健康レポートと生の遺伝子型データを盗んだことを確認した。
このデータ流出事件は複数の集団訴訟に発展し、23andMe社は2023年11月に利用規約を修正したが、この動きは顧客から批判を浴びた。同社は後に、この変更は仲裁プロセスを簡素化することが目的だったと明らかにした。
Comments