Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/19

Kraj:

Wielka Brytania

Data wydania decyzji:

05.06.2025 r.

Podmiot kontrolowany:

23andMe, Inc.

Wysokość kary (EUR):

2.700.000

Podstawa prawna naruszenia

Art. 5 ust. 1, lit. f), art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

23andMe, firma oferująca testy genetyczne, padła ofiarą poważnego naruszenia ochrony danych, ponieważ nie wdrożyła odpowiednich zabezpieczeń chroniących dane osobowe swoich użytkowników. Cyberprzestępcy wykorzystali tzw. „credential stuffing”, czyli atak polegający na użyciu skradzionych haseł z innych serwisów, do logowania się na konta użytkowników 23andMe. Firma nie wymagała drugiego składnika logowania (np. kodu z telefonu), miała słabe procedury w zakresie bezpieczeństwa haseł oraz niewystarczające narzędzia do wychwytywania podejrzanych działań. W efekcie dostęp uzyskano do danych genetycznych i zdrowotnych dużej ilości osób z Wielkiej Brytanii.

 

Opis wydarzeń

  1. Zakres naruszenia danych: W wyniku działań cyberprzestępców doszło do nieautoryzowanego dostępu do kont ok. 155 592 klientów z Wielkiej Brytanii. Na kontach tych znajdowały się dane osobowe, w tym dane genetyczne, dane dotyczące zdrowia, pochodzenia etnicznego oraz relacji rodzinnych (m.in. drzewa genealogiczne dostępne przez funkcję „DNA Relatives”). Znaczna część tych danych dotyczyła osób z grup etnicznych takich jak Żydzi aszkenazyjscy czy osoby pochodzenia chińskiego, które były później przedmiotem personalizowanej sprzedaży na forach przestępczych.
  2. Rodzaj zastosowanego ataku: Hakerzy wykorzystali technikę zwaną credential stuffing, czyli automatyczne testowanie skompromitowanych danych logowania (e-mail + hasło) pochodzących z wcześniejszych wycieków z innych serwisów. Użytkownicy, którzy stosowali te same dane dostępowe na portalu 23andMe, padli ofiarą tego typu ataku. Ataki te miały miejsce między kwietniem a wrześniem 2023 roku i nie były skutecznie zatrzymane przez systemy bezpieczeństwa firmy.
  3. Braki w zabezpieczeniach: W czasie incydentu firma nie wymagała wieloskładnikowej autoryzacji (MFA), umożliwiając dostęp do kont wyłącznie po podaniu e-maila i hasła. Nie wdrożono również zabezpieczeń przed automatycznymi próbami logowania, takich jak limity prób, testy CAPTCHA czy blokada konta po wykryciu podejrzanej aktywności. Użycie adresu e-mail jako loginu dodatkowo zwiększało podatność na atak.
  4. Ignorowanie wcześniejszych znaków ostrzegawczych: 23andMe była świadoma zagrożeń związanych z credential stuffing — podobne incydenty miały miejsce już w 2019 i 2020 roku. Mimo to nie wdrożono zalecanych środków technicznych ani organizacyjnych. Firma m.in. otrzymywała raporty od zewnętrznych researcherów i sygnały od własnych użytkowników o podejrzanych działaniach, ale nie były one odpowiednio analizowane ani wykorzystane do poprawy bezpieczeństwa.
  5. Opóźniona reakcja na atak: Na początku października 2023 r. firma po raz pierwszy przyznała publicznie skalę naruszenia. Choć sygnały o możliwej kompromitacji pojawiały się w darknecie już w sierpniu, działania naprawcze zostały podjęte z opóźnieniem. W tym czasie doszło m.in. do sprzedaży dużych pakietów danych użytkowników, z segregacją pochodzenia etnicznego, co zostało uznane za szczególnie niepokojące i naruszające prywatność.
  6. Niepełna i spóźniona komunikacja z organem nadzorczym i klientami: Firma zgłosiła naruszenie do organu nadzorczego z przekroczeniem ustawowego terminu 72 godzin, a ponadto nie przekazała pełnych informacji — w szczególności nie zaznaczono, że mogły zostać ujawnione dane genetyczne. Komunikacja z klientami była spóźniona i zawierała nieprecyzyjne informacje, co dodatkowo pogłębiło utratę zaufania i naraziło klientów na większe ryzyko wtórnych nadużyć.
  7. Działania naprawcze wdrażane z opóźnieniem: Pakiet środków naprawczych wprowadzono dopiero od października 2023 r. — do końca tego roku rozpoczęto obowiązkowe wdrażanie MFA, ale pełne zabezpieczenia systemowe były stopniowo wdrażane aż do końca 2024 r., co oznacza, że przez wiele miesięcy użytkownicy byli nadal narażeni na zagrożenia.
  8. Wpływ reputacyjny i finansowy: Skala i charakter danych (profile DNA, połączenia rodzinne, dane zdrowotne) sprawiły, że incydent został uznany za jedno z najpoważniejszych naruszeń poufności danych genetycznych w Wielkiej Brytanii. Sprawa odbiła się szerokim echem w mediach i środowiskach zajmujących się ochroną prywatności. W efekcie firma 23andMe poniosła poważne straty wizerunkowe i finansowe, co m.in. wpłynęło na ogłoszenie przez nią upadłości w USA w 2024 roku.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Obowiązkowa autoryzacja dwuetapowa (MFA): Wprowadzenie obowiązkowej weryfikacji logowania, np. przez SMS lub aplikację autoryzującą.
  2. Silna polityka haseł: Wymaganie unikalnych, trudnych do odgadnięcia haseł oraz blokowanie haseł z wycieków.
  3. Monitoring i szybka reakcja: Wdrożenie systemów wykrywających nietypowe zachowania oraz zdolność do szybkiego odcięcia zagrożonych kont.
  4. Regularne testy bezpieczeństwa: Prowadzenie audytów, testów odporności oraz symulacji ataków, zwłaszcza typu credential stuffing.
  5. Pełna i terminowa komunikacja z użytkownikami i organami: Udzielanie klarownych informacji o incydencie, jego skutkach i działaniach naprawczych w czasie wymaganym przez przepisy prawa.
  6. Zabezpieczenia danych genetycznych: Wprowadzenie dodatkowej weryfikacji przy dostępie do danych szczególnej kategorii, takich jak pliki DNA.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO