A empresa de testes genéticos 23andMe está sendo acusada em uma ação coletiva de não proteger a privacidade de clientes cujas informações pessoais foram expostas no ano passado em uma violação de dados que afetou quase sete milhões de perfis.
A ação, que foi movida na sexta-feira no tribunal federal de São Francisco, também acusou a empresa de não notificar os clientes com ascendência judaica chinesa e ashkenazi de que eles pareciam ter sido alvo específico ou que suas informações genéticas pessoais foram compiladas em “ listas especialmente selecionadas” que foram compartilhadas e vendidas na dark web.
A ação foi movida depois que a 23andMe apresentou uma notificação ao Gabinete do Procurador-Geral da Califórnia que mostrou que a empresa foi hackeada ao longo de cinco meses, do final de abril de 2023 até setembro de 2023, antes de tomar conhecimento da violação. De acordo com o processo, que foi relatado por TechCruncha empresa soube da violação em 1º de outubro, quando um hacker postou em um subreddit não oficial do 23andMe alegando ter dados de clientes e compartilhando uma amostra como prova.
A empresa divulgou pela primeira vez a violação em uma postagem de blog em 6 de outubro, no qual dizia que um “ator de ameaça” obteve acesso a “determinadas contas” usando “credenciais de login recicladas” – senhas antigas que os clientes da 23andMe usaram em outros sites que foram comprometidos.
A empresa divulgou o escopo completo da violação em uma postagem atualizada no blog em 5 de dezembro, após a conclusão de uma revisão interna auxiliada por “especialistas forenses terceirizados”. Naquela época, de acordo com Eli Wade-Scott, advogado dos demandantes, as informações genéticas pessoais dos usuários e outros materiais confidenciais foram disponibilizados e colocados à venda na dark web durante dois meses.
A 23andMe não respondeu imediatamente aos pedidos de comentários sobre o processo.
Jay Edelson, outro advogado que representa os demandantes, disse que a abordagem da 23andMe em relação à privacidade e o processo resultante sinalizaram “uma mudança de paradigma na lei de privacidade do consumidor”, à medida que a sensibilidade dos dados violados aumentou.
“Agora, quando olhamos para as violações de dados, a nossa primeira preocupação será se as informações serão usadas para assediar fisicamente ou prejudicar as pessoas numa escala sistemática e em massa”, disse Edelson num e-mail na sexta-feira. “O padrão para quando uma empresa age razoavelmente para proteger os dados é agora mais elevado, pelo menos para o tipo de dados que podem ser usados desta maneira.”
Um pai de dois filhos na Flórida, que é um dos dois demandantes citados no processo, disse em uma entrevista que o kit 23andMe que ele comprou como presente de aniversário no ano passado revelou que ele tinha herança judaica Ashkenazi. O homem, identificado na denúncia apenas pelas iniciais, JL, falou sob condição de anonimato porque disse temer pela sua segurança.
Ele estava procurando se conectar com parentes, disse ele, então optou por um recurso chamado DNA Relatives, onde informações selecionadas são compartilhadas com outros clientes da 23andMe que podem ter uma correspondência genética próxima.
O hacker obteve acesso a esse recurso e a informações de 5,5 milhões de perfis de DNA Relatives, disse 23andMe em dezembro. Os perfis podem incluir a localização geográfica do cliente, ano de nascimento, árvore genealógica e fotos enviadas.
O hacker também conseguiu acessar as informações de perfil de mais 1,4 milhão de clientes acessando um recurso chamado Family Tree.
Depois que 23andMe informou a JL e a milhões de outros usuários que seus dados haviam sido violados, JL disse temer que pudesse se tornar um alvo à medida que o discurso de ódio e a violência anti-semita aumentavam, alimentados pelo conflito entre Israel e Gaza.
“Agora que a informação está disponível”, disse ele, “alguém pode entrar e decidir que vai descontar suas frustrações”.
Em 1º de outubro, de acordo com o processo, um hacker que se autodenominava “Golem” e usava uma imagem de Gollum dos filmes “O Senhor dos Anéis” como avatar, vazou os dados pessoais de mais de 1 milhão de usuários do 23andMe com ascendência judaica. ancestralidade no BreachForums, um fórum online usado por cibercriminosos. Os dados incluíam nomes completos, endereços residenciais e datas de nascimento dos usuários.
Mais tarde, em resposta a um pedido no fórum de acesso a “contas chinesas” de alguém que usava o pseudónimo “Wuhan”, Golem respondeu com um link para as informações de perfil de 100 mil clientes chineses, de acordo com o processo. Golem disse que tinha um total de 350 mil registros de perfis de clientes chineses e se ofereceu para liberar o restante deles se houvesse interesse, diz o processo.
Em 17 de outubro, Golem voltou ao fórum para dizer que tinha dados sobre “famílias ricas servindo ao sionismo” que ele estava colocando à venda após a explosão mortal no Hospital Al-Ahli Arab, na cidade de Gaza, disse o processo. Autoridades israelenses e militantes palestinos culparam-se mutuamente pela explosão, mas as agências de inteligência israelenses e americanas afirmam que ela foi causada por um lançamento fracassado de foguete palestino.
Os demandantes estão buscando um julgamento com júri e indenizações compensatórias, punitivas e outros danos não especificados.
“O atual clima geopolítico e social”, argumentou o processo, “amplifica os riscos” para os usuários cujos dados foram expostos. O deputado Josh Gottheimer, democrata de Nova Jersey, pediu uma investigação do FBI na violação no início deste mês, observando o foco nos judeus Ashkenazi.
“Os dados vazados poderiam capacitar o Hamas, seus apoiadores e vários grupos extremistas internacionais para atacar a população judaica americana e suas famílias”, escreveu Gottheimer em uma carta a Christopher Wray, o diretor do FBI.
Ramesh Srinivasan, professor do departamento de estudos de informação da Universidade da Califórnia, em Los Angeles, disse que era inevitável que esse tipo de violação continuasse.
A questão, disse ele, é se as empresas irão enfrentá-los tomando precauções sérias – reforçando a segurança ou limitando a retenção de dados, por exemplo – ou se irão simplesmente aplicar um band-aid prometendo fazer melhor na próxima vez.
“Estamos olhando para o abismo quando se trata da dataficação de nossas vidas”, disse ele.