加州总检察长罗布·邦塔(Rob Bonta)于5月28日(周四)在旧金山高等法院正式对原23andMe公司(现更名为Chrome Holding Co.)提起诉讼,指控其在2023年发生的重大数据泄露事件中未能采取有效措施保护用户敏感个人信息,导致近700万人的祖先来源与基因数据遭到曝光。这是近年来针对消费者基因检测公司最严厉的政府法律行动之一。
邦塔在诉状中指出,23andMe的安全防护“极为松懈”,攻击者在未被察觉的情况下在其系统内活动超过五个月。2023年10月,公司首次对外确认数据泄露,但根据总检察长办公室的调查,入侵事件早在数月前就已开始,且公司仅在网络犯罪分子将窃取的用户数据在暗网公开兜售并向23andMe发送赎金要求后,才启动内部调查。邦塔强调,23andMe在系统遭到入侵后未能妥善回应多次安全警报,也未及时修复已知安全缺陷。
2023年,网络犯罪团伙通过“凭证填充”(credential stuffing)手段入侵23andMe系统。攻击者将此前从其他无关网站窃取的大量用户名和密码组合批量提交至23andMe登录页面,由于公司未能部署有效的异常登录检测机制,攻击者得以在未被发现的情况下持续窃取数据长达五个多月,最终获得超过690万人的姓名、地址、照片以及最敏感的遗传祖先信息和原始基因数据。
泄露事件尤其针对具有中国血统或德系犹太人背景的用户群体。邦塔在宣布诉讼的新闻稿中表示,超过100万亚太裔及德系犹太用户的资料被专门提取并在暗网上出售,而这一交易恰逢美国社会反亚裔及反犹太暴力事件激增的时期。总检察长认为,这种有针对性的数据榨取行为不仅严重侵犯个人隐私,更可能助长仇恨犯罪,其后果“令人不安且极其危险”。
财务困局与隐私诉讼叠加
这并不是23andMe首次因数据泄露而面对法律后果。2024年1月,用户向法院提起集体诉讼,指控公司未能充分保护客户数据,且未及时通知特定用户其信息已被专门窃取。该案最终以3000万美元达成和解,但未能恢复公众对公司保护基因数据能力的信任。
成立超过十载,23andMe凭借99美元(约合人民币713元)的邮寄自检试剂盒成为DNA自我检测的代名词。用户只需提供唾液样本即可获取个人基因组概览、亲属匹配及祖源分析。然而,2023年的安全灾难与持续的隐私诉讼严重拖垮了公司运营;2025年,23andMe正式申请破产保护并更名为Chrome Holding Co.。截至发稿,公司代表未就此次诉讼回应媒体置评。
本文参考来源:CNET
微信扫描下方的二维码阅读本文
