23andMe na sudu zbog pitanja koje lozinka ne može riješiti: što kad procuri DNA
Tužba u Kaliforniji ponovno otvara pitanje tko kontrolira potrošačke DNA podatke.📷 AI-generated image / TECH&SPACE
- ★Kalifornijski državni odvjetnik tvrdi da je 23andMe umanjivao proboj DNA podataka iz 2023.
- ★Prema izvoru, tvrtka je napadaču platila ucjenu nakon velikog curenja podataka.
- ★Slučaj otvara pitanje koliko jasno genetske tvrtke moraju obavijestiti korisnike o riziku.
Kalifornijski državni odvjetnik Rob Bonta pokrenuo je tužbu protiv novih vlasnika 23andMe zbog proboja podataka iz 2023., prema izvještaju The Registera. Srž optužbe nije samo da je došlo do velikog curenja, nego da je genetička tvrtka navodno umanjivala ozbiljnost incidenta dok je istodobno platila ucjenu napadaču.
To je neugodan tip slučaja za bilo koju tehnološku firmu, ali kod 23andMe ima dodatnu težinu. Korisnici takvim servisima ne daju samo e-mail adresu i lozinku. Daju podatke koji govore nešto o podrijetlu, rodbinskim vezama i biološkoj blizini drugih ljudi koji možda nikada nisu otvorili korisnički račun. Zato se proboj DNA podataka ne može tretirati kao obična kompromitacija profila.
Državni odvjetnik tvrdi da je tvrtka umanjivala razmjere proboja iz 2023. i platila ucjenu napadaču.
Genetski podaci nakon proboja ne mogu se resetirati poput lozinke.📷 AI-generated image / TECH&SPACE
Tužba dolazi iz Kalifornije, jurisdikcije koja već ima jak okvir za potrošačku privatnost kroz California Consumer Privacy Act. U takvom kontekstu pitanje nije samo je li napad tehnički zaustavljen, nego jesu li korisnici dobili točnu, pravodobnu i nedvosmislenu sliku o tome što se dogodilo. Ako je kompanija zaista umanjivala incident, regulatorni problem postaje komunikacija jednako koliko i sama sigurnost.
Detalj o plaćenoj ucjeni posebno je osjetljiv. Plaćanje napadaču ne dokazuje automatski prikrivanje, ali mijenja ton priče: ako je rizik bio dovoljno ozbiljan da se pregovara s napadačem, teško ga je istodobno prikazivati kao ograničen ili benigni problem. Upravo se tu vidi jaz između kriznog PR-a i odgovornosti prema ljudima čiji su biološki podaci završili izvan kontrole.
Za industriju potrošačke genetike ovo je upozorenje šire od jednog brenda. Tvrtke koje grade poslovanje na osjetljivim biometrijskim i zdravstvenim podacima ne mogu se oslanjati na standardni model tehnološkog incidenta: zakrpaj sustav, pošalji obavijest, nastavi dalje. Kod genetskih podataka nema jednostavne rotacije vjerodajnica. Ne postoji nova lozinka za DNA.
Slučaj će se zato čitati i kao test za nove vlasnike 23andMe. Naslijedili su ne samo poslovnu imovinu, nego i regulatorni rep jednog od najosjetljivijih sigurnosnih incidenata u potrošačkom zdravstvu. Ako Kalifornija uspije dokazati da je javna komunikacija bila blaža od stvarnog rizika, posljedice bi mogle definirati stroži standard za cijeli sektor genetskog testiranja i za svaku tvrtku koja od korisnika traži povjerenje u podatke koje nikada ne mogu povući natrag.
