2026年5月28日,加州总检察长Rob Bonta在旧金山高等法院对Chrome Holding Co.(原23andMe)提起诉讼,指控这家消费级基因检测公司在2023年大规模数据泄露事件中未能保护用户的敏感个人信息。该事件导致近700万人的血统和遗传数据被曝光。Bonta在起诉书中称23andMe的安全措施“松懈”,并指出公司在收到多次系统被入侵的警告后,未能进行充分调查或回应。
诉讼细节与安全漏洞
根据Bonta办公室提交的起诉状,攻击者在2023年通过“凭证填充”(credential stuffing)方式入侵23andMe系统——这是一种利用先前其他平台泄露的用户名和密码组合,对目标账号进行批量登录的攻击方法。攻击者得以在系统中潜伏超过五个月未被发现,直到将窃取的用户数据在暗网出售并向23andMe发出勒索要求后,公司才开始展开调查。Bonta办公室在起诉状中强调,23andMe的安全措施“极为松懈”,攻击者甚至主动联系公司索要赎金,公司才启动后续行动。
泄露的信息不仅包含姓名、地址等基本个人资料,还包括血统和遗传信息。这些数据尤其针对具有中国血统或阿什肯纳兹犹太血统的用户。超过100万亚裔太平洋岛民和阿什肯纳兹犹太用户的数据被在暗网上挂牌出售。Bonta在新闻稿中表示,这些数据在反亚裔和反犹太仇恨与暴力加剧的时期被泄露,“这令人不安且极其危险”。
公司应对与破产
2023年10月,23andMe首次承认黑客入侵,并披露攻击者访问了客户信息。2024年1月,公司因数据泄露面临集体诉讼,被指控未能充分保护客户数据且未及时通知部分用户。公司随后以3000万美元(约合人民币2.16亿元)达成和解。总部位于旧金山的23andMe曾凭借其邮寄式DNA自检试剂盒成为消费级基因检测领域的标志性企业,用户可以通过提交唾液样本了解自己的基因构成、潜在亲属和祖先来源。但数据泄露事件以及后续的法律和财务问题最终导致公司于2025年申请破产,并更名为Chrome Holding Co.。目前,加州总检察长的诉讼仍在进行中,案件由旧金山高等法院审理。
本文参考来源:CNET
