Regno Unito: sanzione per violazione della privacy da 2,7 milioni di euro ad una società specializzata nei test genetici
L’Information Commissioner’s Office (ICO) del Regno Unito ha inflitto una sanzione di 2,3 milioni di sterline (corrispondenti a circa 2,7 milioni di euro) a 23andMe, società specializzata nell’effettuazione di test genetici, per non aver protetto adeguatamente i dati degli utenti britannici. Nel 2023 l’azienda californiana aveva subito un data breach che non era stato rilevato per quasi cinque mesi.
Come spiega l’autorità del Regno Unito, i cybercriminali hanno rubato i dati genetici di circa 6,9 milioni di utenti, sfruttando le funzionalità “DNA Relatives” e “Family Tree” del servizio offerto da 23andMe, che permette agli utenti di eseguire lo screening del loro DNA utilizzando un kit basato sulla saliva per scoprire da dove provenivano i loro lontani antenati in termini di etnia e ubicazione geografica.
L’intrusione dei criminali informatici era avvenuta tramite un attacco di “credential stuffing”, e il data breach era durato dal 29 aprile al 27 settembre 2023, pertanto 23andMe non aveva rilevato niente per quasi 5 mesi, finchè i dati personali di circa 4,1 milioni di utenti che vivono in Germania e nel Regno Unito erano stati messi in vendita sul noto sito di hacking “BreachForums”.
Il garante britannico scrive che l’accesso ai dati sensibili di 155.592 residenti inglesi, comprendenti informazioni come codici postali, origine etnica, connessioni familiari e dati sanitari, è stato facilitato dall’assenza di misure di sicurezza aggiuntive per proteggere gli account, riferendosi all’autenticazione a due fattori che 23andMe ha aggiunto come impostazione predefinita solo dopo il data breach. Sotto accusa anche la lentezza con la quale 23andMe ha risposto alla violazione.
Secondo l’ICO, l’azienda ha quindi violato la legge britannica sulla protezione dei dati per non avere implementato misure di autenticazione e verifica adeguate, come l’autenticazione multi-fattore obbligatoria. Inoltre non aveva implementato controlli adeguati sull’accesso ai dati genetici grezzi e non disponeva di sistemi efficaci per monitorare, rilevare o rispondere alle minacce informatiche che colpivano le informazioni sensibili dei propri clienti.
John Edwards, Commissario per l'Informazione del Regno Unito, ha affermato che la violazione in questione è “profondamente dannosa perchè ha esposto informazioni personali sensibili, storie familiari e persino condizioni di salute di migliaia di persone nel Regno Unito”, e “come ha rimarcato uno dei 12 interessati che hanno presentato reclamo, “una volta che queste informazioni vengono rese disponibili all’esterno, “non possono essere modificate o ristampate come una password o un numero di carta di credito”.
Fonte: Information Commissioner’s Office
