23andMe ‘no tomó medidas primarias’ para proteger la información privada, encuentra investigación
El comisionado de privacidad canadiense ha investigado la compañía de pruebas de ADN 23 y hace casi dos años que las señales de advertencia fueron ignoradas antes de la violación de datos masivos e ignoraron las señales de advertencia.
El comisionado Philip Duffress dijo a los periodistas que los piratas informáticos obtuvieron alrededor de 6.9 millones de perfiles en el sitio en 2023, casi la mitad de su base de clientes.
«Esta violación sirve como una historia de advertencia para todas las organizaciones sobre la importancia de las defensas de datos», dijo Dufresne en una reunión de noticias el martes.
«La intensidad y la complejidad de las violaciones de datos, y los ataques de ransomware y malware están aumentando, cualquier organización que no tome medidas para priorizar la protección de datos y resolver estas amenazas».
Los perfiles de los clientes tienen datos personales confidenciales que el año de nacimiento, la posición geográfica, la información de salud y los clientes de ADN comparten con sus familiares. Dufresne dijo que parte de la información robada se vendió en línea más tarde.
La investigación del año pasado se lanzó con el comisionado de información del Reino Unido John Edwards.
«23 y MI no lograron tomar medidas básicas para proteger la información de las personas, sus sistemas de seguridad no son suficientes, hay señales de advertencia y la compañía es lenta para responder», dijo Edwards.
Al igual que otras empresas de pruebas genéticas, 23andMe utiliza muestras salivales para crear informes sobre los antepasados de un cliente y utiliza posibles guerras para ciertas condiciones de salud.
En una conferencia de prensa conjunta en Ottawa el martes por la mañana, el Comisionado de Información del Reino Unido, John Edwards, anunció una multa de 2.31 millones de GBP contra la compañía de pruebas genéticas 23andMe. Esta decisión sigue una investigación cooperativa con el comisionado de privacidad de Canadá, Philip Dufresne. Edwards afirmó que la compañía no había implementado medidas de seguridad básicas necesarias para proteger la información personal en todo el mundo.
Alrededor de 320,000 canadienses y 150,000 personas fueron afectados por la violación de 2023, dijeron los comisionados.
Edwards dijo que el Reino Unido abofeteó a la compañía con sede en San Francisco por la violación de datos del Reino Unido con una multa de 4.2 millones.
.
Legal Se han propuesto cambios en el pasado Esto le da al Comisionado de Privacidad la autoridad para imponer sanciones, pero nunca se ha implementado. Duffans dijo que esperaba que el nuevo Parlamento pronto proponiera cambios.
El Comisionado de Privacidad de Canadá ha pedido mejores herramientas para mejores herramientas, lo que evitará que la ley canadiense emite sanciones como su contador del Reino Unido, después de la violación de datos globales después de la compañía de prueba de genética que investiga la compañía de prueba 23andMe.
23 se solicitó en bancarrota a principios de este año y anunció que sus activos se vendían, es decir, los datos de los clientes podían «acceder, vender o transferir». Sin embargo, el banco dijo que el proceso de quiebra no afectaría los datos del cliente cómo almacenó, administra o protege.
Se espera que protejan los datos de los usuarios de la compañía en el momento de cualquier venta de Dufresne y Edwards.
«Deberíamos seguirlo cuidadosamente … (privacidad) Las responsabilidades deben continuar aplicándose a cualquier nuevo propietario», dijo Dufresne.
