Pozew ma dotyczyć tego, że firma 23andMe, która obecnie funkcjonuje pod nazwą Chrome Holding, nie zabezpieczyła właściwie danych klientów. Rob Bonta ocenił, że nie wdrożono podstawowych środków ochrony, a później wprowadzono użytkowników w błąd co do skali naruszenia bezpieczeństwa. Wyciek objął nie tylko dane o genetycznych predyspozycjach i czynnikach ryzyka zdrowotnego. Ujawniono też informacje o biologicznych krewnych i pochodzeniu etnicznym użytkowników.
Jak doszło do wycieku danych w 23andMe?
Atak miał polegać na tzw. credential stuffing. Hakerzy wykorzystali hasła ujawnione wcześniej w innych naruszeniach i logowali się do kont osób, które używały podobnych danych logowania w różnych serwisach. W ubiegłym roku brytyjski urząd ICO nałożył na spółkę karę 2,31 mln funtów, wskazując, że przed incydentem nie zapewniła odpowiedniej ochrony wrażliwych danych. Firma miała niewystarczająco zabezpieczyć proces logowania. Zastrzeżenia dotyczyły przede wszystkim mechanizmów uwierzytelniania oraz sposobów weryfikowania tożsamości użytkowników.
23andMe znalazło się pod dodatkową obserwacją także po złożeniu w ubiegłym roku wniosku o ochronę przed bankructwem w trybie Chapter 11. Część użytkowników zgłaszała wtedy problemy z usunięciem kont, a niektórzy obawiali się, że ich dane mogłyby trafić do firm ubezpieczeniowych.