اتهمت كاليفورنيا الشركة بفشلها في حماية البيانات الشخصية، بما في ذلك البيانات الجينية الحساسة، وانتهاكها لعدة قوانين خصوصية وحماية المستهلك في الولاية. كما اتهمت الشركة بإصدار بيانات مضللة حول ممارساتها الأمنية.
تفاصيل خرق البيانات لعام 2023
استخدم المهاجمون في عام 2023 تقنيات قديمة لاختراق الحسابات، مثل إدخال بيانات الاعتماد المسروقة (credential stuffing) ضد صفحة تسجيل الدخول الخاصة بـ23andMe. واستمر المهاجمون في العمل داخل الأنظمة لمدة خمسة أشهر تقريبًا دون أن يتم اكتشافهم. وعلى الرغم من أن عدد الحسابات التي تم اختراقها بشكل مباشر لم يتجاوز 14,000 حسابًا، إلا أن هذه الاختراقات الصغيرة كانت كافية لسرقة بيانات ما يقرب من سبعة ملايين مستخدم.
انتقل المهاجمون من تلك الحسابات عبر ميزة "DNA Relatives"، وهي الميزة الرئيسية للمنصة التي تتيح للأشخاص تحديد علاقتهم من خلال التشابه الجيني. واتهمت الدعوى بوجود خطأ برمجي حرج في هذه الميزة، مما سمح للمهاجمين بجمع بيانات ملايين المستخدمين الآخرين الذين كانوا متصلين من خلال القرابة البيولوجية.
دفاع الشركة وتحميل المستخدمين المسؤولية
بعد الإعلان عن خرق البيانات، أرسلت 23andMe خطابًا إلى ممثلي الضحايا، متهمة المستخدمين بإعادة استخدام كلمات مرورهم من مواقع أخرى تعرضت للاختراق سابقًا. وادعت الشركة أن البيانات التي تم تسريبها كانت من اختيار المستخدمين أنفسهم ولن تسبب أي ضرر مالي. ومع ذلك، فإن الأضرار الناجمة عن سرقة البيانات الجينية تتجاوز بكثير الخسائر المالية.
سمحت البيانات المسروقة للمهاجمين بتحديد الأصول الجينية للأفراد، وتم الإبلاغ عن عرض هذه البيانات للبيع على الويب المظلم، مع تسليط الضوء على معلومات مثل الأصل العرقي أو الديني، مثل الأمريكيين الآسيويين أو اليهود. وأشار مكتب بونتا إلى أن العنف المعادي للسامية كان في ارتفاع في ذلك الوقت.
على الرغم من محاولة الشركة تحميل المستخدمين المسؤولية، إلا أن 14,000 حسابًا فقط هي التي تم اختراقها مباشرة من خلال إعادة استخدام كلمات المرور. أما باقي البيانات، فقد تم تسريبها من خلال منتج الشركة نفسه. ووفقًا للشكوى، أدى الخطأ البرمجي في ميزة "DNA Relatives" إلى تسريب بيانات أي شخص اختار الاشتراك في الخدمة، وليس فقط أولئك المرتبطين بالـ14,000 حسابًا المخترقة.
هل ستتمكن الولاية من استرداد الأضرار؟
تسعى كاليفورنيا للحصول على عقوبات قانونية تتراوح بين 1,000 دولار و7,500 دولار لكل انتهاك. مع وجود 855,541 من سكان كاليفورنيا بين المستخدمين المتضررين، يمكن أن ترتفع التكاليف بسرعة. والسؤال هو مقدار ما ستتمكن الولاية من تحصيله إذا فازت بالقضية.
filed for Chapter 11 bankruptcy في مارس 2025، ثم باعت معظم أصولها، بما في ذلك بيانات الجينوم لأكثر من 15 مليون مستخدم، إلى معهد TTAM للأبحاث، وهو معهد غير ربحي أسسته المديرة التنفيذية السابقة لشركة 23andMe آن ووجسيكي. عارضت كاليفورنيا وعدد من الولايات الأخرى هذا البيع بموجب قانون خصوصية المعلومات الجينية، لكن قاضي الإفلاس الفيدرالي وافق عليه. وتستأنف الولايات الآن هذا القرار.
تلقت شركة Chrome Holding Co، وهي الشركة المتبقية من 23andMe، 305 مليون دولار من هذا البيع. لكن آخرين كانوا قد بدأوا بالفعل في الاستيلاء على ما تبقى. وقد فرضت هيئة المعلومات البريطانية (ICO) غرامة قدرها 2.31 مليون جنيه إسترليني على 23andMe في يونيو من العام الماضي، وذلك بعد تحقيق مشترك مع مفوض الخصوصية الكندي. كما وافق محكمة فيدرالية في البداية على تسوية دعوى جماعية بقيمة 30 مليون دولار تغطي معظم مطالبات العملاء الأمريكيين. ثم توسعت التسوية لاحقًا إلى 50 مليون دولار وحصلت على الموافقة النهائية في يناير 2026.
ماذا يمكن للمستخدمين فعله؟
إذا خضعت لاختبار الحمض النووي مع 23andMe، فلا تزال إجراءات النظافة الأمنية القياسية سارية المفعول. قم بإعادة تعيين أي كلمة مرور قمت بإعادة استخدامها على مواقع أخرى، وقم بتفعيل المصادقة الثنائية في كل مكان متاح. تعمل تقنية إدخال بيانات الاعتماد المسروقة فقط على الأسماء المستخدمة وكلمات المرور التي تم تسريبها مسبقًا في أماكن أخرى. كما يجب أن تكون حذرًا من هجمات التصيد الاحتيالي التي تشير إلى 23andMe أو خرق البيانات نفسه. وربما حان الوقت لإعادة النظر في فوائد استخدام خدمات اختبار الحمض النووي مقابل المخاطر الأمنية.
هناك جزء واحد في هذه القضية لا يمكن لأي غرامة أو تسوية حله: البيانات الجينية المسروقة التي تباع على الويب المظلم لا يمكن استعادتها. يمكن تغيير كلمات المرور. لكن الحمض النووي لا يمكن تغييره.
