دعوى من ولاية كاليفورنيا ضد 23andMe بسبب اختراق بيانات عام 2023 الذي طالت آثاره 7 ملايين مستخدم
تواجه شركة “كروم هولدينغ”، المعروفة سابقًا باسم “23andMe”، دعوى قضائية من قبل المدعي العام في ولاية كاليفورنيا، روب بونتا، تتعلق بانتهاك أمني كبير حدث عام 2023. وقد أدى هذا الحادث إلى تسريب المعلومات الحساسة لملايين المستخدمين، حيث اتهم بونتا الشركة بعدم حماية البيانات الشخصية والمعلومات الجينية المتعلقة بالصحة والعوامل الوراثية ودرجة القرابة والأنساب.
تشير الدعوى القضائية إلى أن الحادث أثر على نحو 7 ملايين مستخدم في الولايات المتحدة، من بينهم 855,541 كانوا من سكان كاليفورنيا. اعترفت “23andMe” في عام 2023 بأن المهاجمين تمكنوا من الوصول إلى حسابات المستخدمين عبر طريقة تُعرف بـ”تكديس بيانات الاعتماد”، وهي وسيلة شائعة في الهجمات السيبرانية. وطالب بونتا بأن تدرك الشركات، خصوصًا تلك التي تجمع البيانات الجينية، أهمية حماية نفسها ضد هذه الأساليب.
في حالة “23andMe”، استخدم المخترقون بيانات تم سرقتها سابقًا من هجمات أخرى، بما في ذلك اختراق لموقع “MyHeritage”، الذي كانت تتعاون معه الشركة. بالرغم من علم “23andMe” باختراق “MyHeritage”، إلا أنها لم تتخذ أي خطوات للتحقق من أو منع المستخدمين من إعادة استخدام بيانات الاعتماد الخاصة بهم. وقد أشير إلى أن الشركة كانت تشجع مستخدميها على التسجيل في حسابات “MyHeritage”.
لم تكن طريقة “تكديس بيانات الاعتماد” وحدها هي التي وفرت الفرصة للمهاجمين، بل استغلوا أيضًا ثغرة في ميزة “الأقارب الجينيين” للوصول إلى بيانات مزيد من العملاء. وفقًا لبونتا، كانت التدابير الأمنية للشركة ضعيفة جدًا، مما أتاح للمتسللين العمل في نظامها دون أن يتم اكتشافهم لمدة خمسة أشهر. وأشار أيضًا إلى أن الشركة لم تبدأ التحقيق حتى بدأ المحتالون في بيع البيانات المسروقة على الشبكة المظلمة وطلب فدية.
اتهم بونتا “23andMe” بالتقليل من أهمية المعلومات المسروقة عند إبلاغ العملاء عن الحادث، مشيرًا إلى أن ميزة “الأقارب الجينيين” كانت تُعتبر “عامة أساسًا”، بينما كانت الشركة تتفاوض سرًا مع المهاجمين حول معلومات تتعلق بالأمريكيين الآسيويين وذوي أصول جزر المحيط الهادئ، فضلاً عن المستخدمين اليهود. وأضاف بونتا أن بيع هذه البيانات حدث في فترة شهدت تصاعدًا في الكراهية والعنف ضد الأمريكيين الآسيويين واليهود، مما يجعل الأمر مثيرًا للقلق وخطيرًا بشكل كبير.
تقدمت “23andMe” بطلب للإفلاس في مارس 2025، وأفيد أيضًا بأنها تواجه دعوى قضائية جماعية تتهمها بعدم حماية عملائها. وقد وافق القاضي المشرف على إجراءات الإفلاس على تسوية بقيمة 50 مليون دولار في وقت سابق من هذا العام.
