Tổng chưởng lý California kiện 23andMe vì thất bại trong bảo mật dữ liệu ADN

Văn phòng của Rob Bonta, Tổng chưởng lý California, đang khởi kiện công ty công nghệ sinh học 23andMe vì những thất bại trong việc bảo vệ dữ liệu đã dẫn đến vụ rò rỉ thông tin thảm khốc năm 2023.

Bonta và nhóm của ông cáo buộc rằng 23andMe đã không triển khai các biện pháp kiểm soát bảo mật thích đáng cho các hồ sơ nhạy cảm mà họ lưu trữ, đồng thời cung cấp thông tin sai lệch cho khách hàng về bản chất của sự cố sau khi nó xảy ra.

"23andMe đã thu thập dữ liệu di truyền của hàng triệu người, thất hứa trong việc bảo vệ thông tin đó theo luật pháp California, và sau đó nói dối với người tiêu dùng về mức độ nghiêm trọng của vụ rò rỉ dữ liệu năm 2023," ông Bonta tuyên bố vào thứ Năm.

Vụ kiện được đệ trình chống lại Chrome Holding Co., trước đây được gọi là 23andMe. Vào năm ngoái, Viện Nghiên cứu TTAM đã mua lại tài sản của 23andMe. Viện này được thành lập và dẫn dắt bởi Anne Wojcicki, người từng là CEO của 23andMe vào thời điểm xảy ra vụ tấn công và là một trong những đồng sáng lập công ty.

Lỗ hổng bảo mật và hậu quả dây chuyền

Để tóm tắt lại sự kiện, một tội phạm mạng sử dụng biệt danh Golem đã xuất hiện trên một diễn đàn vào năm 2023 và tuyên bố đang bán một lượng lớn dữ liệu thuộc về hàng triệu khách hàng của 23andMe.

Các cuộc điều tra sau đó cho thấy Golem thực tế chỉ xâm nhập thành công khoảng 14.000 tài khoản. Tuy nhiên, nhờ vào tính năng "DNA Relatives" (Họ hàng ADN) cho phép người dùng kết nối với những người dùng khác có chung một phần ADN, kẻ tấn công đã có thể truy cập vào chi tiết của gần 7 triệu khách hàng.

Điều đáng lo ngại là việc bán dữ liệu này trên web tối diễn ra trong bối cảnh sự thù địch và bạo lực chống lại người Mỹ gốc Á và người dân các đảo Thái Bình Dương đang gia tăng. Thông tin di truyền mang tính cá nhân sâu sắc và có khả năng xác định danh tính cao, khiến việc rò rỉ trở nên cực kỳ nguy hiểm.

Thất bại trong an ninh mạng và cáo buộc trả tiền chuộc

Cuộc điều tra cho thấy 23andMe đã không phát hiện ra sự xâm nhập trong suốt năm tháng. Các tài khoản bị Golem truy cập là nạn nhân của các cuộc tấn công credential stuffing (sử dụng tên đăng nhập và mật khẩu bị lộ từ các trang web khác để thử đăng nhập).

Điều đáng chú ý là cho đến nay, 23andMe vẫn cho phép khách hàng sử dụng dịch vụ mà không bắt buộc xác thực hai yếu tố (2FA/MFA), mặc dù họ thường xuyên gửi lời nhắc đến những người chưa thiết lập tính năng này.

Văn phòng Tổng chưởng lý cáo buộc rằng các tuyên bố của 23andMe dành cho khách hàng là "gây hiểu lầm và đã bỏ sót hoặc xuyên tạc các thông tin quan trọng".

"Trong khi 23andMe trấn an công chúng rằng họ không gặp phải sự cố an ninh mạng trong hệ thống, hạ thấp tính nhạy cảm của dữ liệu bị đánh cắp bằng cách tuyên bố thông tin từ tính năng 'DNA Relatives' về cơ bản là công khai, và cố gắng đổ lỗi cho sự vi phạm dữ liệu cho khách hàng của mình, thì 23andMe thực tế đang đàm phán và trả tiền chuộc cho kẻ đe dọa."

Theo cáo buộc, khoản tiền chuộc này được trả để đổi lấy việc kẻ tấn công gỡ bỏ các thông tin gây hại về vụ vi phạm đã đăng trực tuyến và cung cấp thông tin về nhiều lỗ hổng bảo mật của 23andMe, bao gồm cả những lỗ hổng mà kẻ tấn công đã khai thác trong quá trình rò rỉ dữ liệu.

Phản hồi từ chủ sở hữu mới

Khi được liên hệ để đưa ra bình luận, Viện Nghiên cứu 23andMe (thuộc TTAM Research Institute) đã distances mình khỏi Chrome Holding Co.

"Viện Nghiên cứu 23andMe là một tổ chức phi lợi nhuận độc lập mới thành lập và không liên quan đến các vấn đề được mô tả trong đơn khiếu nại của Tổng chưởng lý California đệ trình chống lại Chrome Holding Co., trước đây được gọi là 23andMe," đại diện của viện tuyên bố.

Họ khẳng định vụ kiện liên quan đến các sự kiện và hoạt động của thực thể thương mại cũ trước khi Viện Nghiên cứu 23andMe được thành lập.

Trước đó, 23andMe cũng đã bị Ủy viên Thông tin Vương quốc Anh phạt 2,3 triệu bảng Anh (khoảng 3,09 triệu USD) vào tháng 6 năm 2025 vì các lỗi bảo mật tương tự, và cũng đã dàn xếp một vụ kiện tập thể trị giá 30 triệu USD vào năm 2024.