Voltado para mais de 30 ações judiciais das vítimas da sua violação massiva de dados, a 23andMe está agora a desviar a culpa para as próprias vítimas, numa tentativa de se isentar de qualquer responsabilidade, de acordo com uma carta enviada a um grupo de vítimas vista pelo TechCrunch.
“Em vez de reconhecer o seu papel neste desastre de segurança de dados, a 23andMe aparentemente decidiu deixar seus clientes de lado enquanto minimiza a gravidade desses eventos”, disse Hassan Zavareei, um dos advogados que representam as vítimas que recebeu a carta da 23andMe. TechCrunch por e-mail.
Em dezembro, 23andMe admitiu que hackers roubaram os dados genéticos e ancestrais de 6,9 milhões de usuáriosquase metade de todos os seus clientes.
A violação de dados começou com hackers acessando apenas cerca de 14.000 contas de usuários. Os hackers invadiram este primeiro conjunto de vítimas contas de força bruta com senhas que eram conhecidas por estarem associadas aos clientes-alvouma técnica conhecida como preenchimento de credenciais.
Dessas 14 mil vítimas iniciais, no entanto, os hackers conseguiram acessar os dados pessoais das outras 6,9 milhões de vítimas porque haviam optado pelo serviço da 23andMe. Parentes de DNA características. Este recurso opcional permite que os clientes compartilhem automaticamente alguns de seus dados com pessoas que são consideradas seus parentes na plataforma.
Por outras palavras, ao invadirem apenas 14.000 contas de clientes, os hackers subsequentemente recolheram dados pessoais de outros 6,9 milhões de clientes cujas contas não foram diretamente pirateadas.
Mas em uma carta enviada a um grupo de centenas de usuários do 23andMe que agora estão processando a empresa, a 23andMe disse que “os usuários reciclaram negligentemente e não atualizaram suas senhas após esses incidentes de segurança anteriores, que não estão relacionados ao 23andMe”.
“Portanto, o incidente não foi resultado da alegada falha da 23andMe em manter medidas de segurança razoáveis”, diz a carta.
Zavareei disse que a 23andMe está culpando “descaradamente” as vítimas pela violação de dados.
“Essa acusação de dedo é absurda. A 23andMe sabia ou deveria saber que muitos consumidores usam senhas recicladas e, portanto, que a 23andMe deveria ter implementado algumas das muitas salvaguardas disponíveis para proteção contra preenchimento de credenciais – especialmente considerando que a 23andMe armazena informações de identificação pessoal, informações de saúde e informações genéticas em sua plataforma, “Zavareei disse por e-mail.
“A violação impactou milhões de consumidores cujos dados foram expostos através do recurso DNA Relatives na plataforma 23andMe, não porque usaram senhas recicladas. Desses milhões, apenas alguns milhares de contas foram comprometidas devido ao preenchimento de credenciais. A tentativa da 23andMe de se esquivar da responsabilidade culpando seus clientes não faz nada por esses milhões de consumidores cujos dados foram comprometidos sem culpa alguma”, disse Zavareei.
Contate-nos
Você tem mais informações sobre o incidente 23andMe? Adoraríamos ouvir de você. Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail lorenzo@techcrunch.com. Você também pode entrar em contato com o TechCrunch via SecureDrop.
Em resposta à carta da 23andMe, Dante Termohs, um cliente da 23andMe que foi afetado pela violação de dados, disse ao TechCrunch que achou “terrível que a 23andMe esteja tentando se esconder das consequências em vez de ajudar seus clientes”.
Os advogados da 23andMe argumentaram que os dados roubados não podem ser usados para infligir danos monetários às vítimas.
“As informações que foram potencialmente acessadas não podem ser usadas para qualquer dano. Conforme explicado na postagem do blog de 6 de outubro de 2023, as informações do perfil que podem ter sido acessadas estão relacionadas ao recurso DNA Relatives, que um cliente cria e opta por compartilhar com outros usuários na plataforma 23andMe. Essas informações só estariam disponíveis se os demandantes decidissem afirmativamente compartilhar essas informações com outros usuários por meio do recurso DNA Relatives. Além disso, as informações que o ator não autorizado potencialmente obteve sobre os demandantes não poderiam ter sido usadas para causar danos pecuniários (não incluíam seu número de seguro social, número de carteira de motorista ou qualquer informação financeira ou de pagamento)”, dizia a carta.
A 23andMe e um de seus advogados não responderam ao pedido de comentários do TechCrunch.
Depois de divulgar a violação, a 23andMe redefiniu todas as senhas dos clientes e, em seguida, exigiu que todos os clientes usassem autenticação multifatorque era apenas opcional antes da violação.
Numa tentativa de antecipar as inevitáveis ações judiciais coletivas e reivindicações de arbitragem em massa, 23andMe mudou seus termos de serviço para tornar mais difícil a união das vítimas ao entrar com uma ação judicial contra a empresa. Advogados com experiência em representação de vítimas de violação de dados disseram ao TechCrunch que as mudanças eram “cínicas”, “interessadas” e “uma tentativa desesperada” de se protegerem e dissuadirem os clientes de perseguirem a empresa.
É evidente que as mudanças não impediram o que é hoje uma enxurrada de ações judiciais coletivas.
