1) O fato A 23andMe (atual Chrome Holding Co.) concordou em pagar US$ 18 milhões para encerrar reivindicações de uma coalizão de 43 procuradores-gerais estaduais dos EUA que a acusavam de não proteger adequadamente os dados genéticos de seus clientes. O acordo impõe novos requisitos de segurança, incluindo um conselho consultivo de segurança de dados, protocolos de análise de risco e o direito continuado dos consumidores de excluir seus dados.
2) Contexto A violação original foi divulgada em outubro de 2023, após ataques de credential stuffing que passaram despercebidos por cinco meses — de abril a setembro de 2023. Seis milhões e novecentos mil clientes tiveram dados roubados, incluindo informações de ancestralidade genética. A investigação multiestadual descobriu que a empresa não tinha proteções básicas como bloqueio de senhas comprometidas, autenticação multifator, rate limiting adequado ou monitoramento de detecção de intrusão. A procuradora-geral de Nova York afirmou que a empresa inicialmente negou a violação e depois culpou os clientes por suas práticas de senha. A 23andMe pediu falência (Chapter 11) em março de 2025 e foi adquirida por US$ 305 milhões pela TTAM Research Institute em julho de 2025.
3) Análise Este é um caso emblemático de como empresas que lidam com dados ultras sensíveis podem falhar nas proteções mais básicas de segurança cibernética. A 23andMe inicialmente culpou os clientes por suas práticas de senha — uma tentativa flagrante de transferir responsabilidade que a investigação multiestadual rejeitou categoricamente. O valor de US$ 18 milhões, embora expressivo, é pequeno comparado ao dano real causado: dados genéticos são irrevogáveis. Diferentemente de senhas ou cartões de crédito que podem ser trocados, a informação genética de uma pessoa é única, permanente e imutável. O sistema de justiça americano consolidou US$ 30 milhões de um acordo coletivo anterior (setembro de 2024) mais esta multa de US$ 18 milhões, totalizando US$ 48 milhões em penalidades financeiras, além de £ 2,31 milhões do ICO britânico e o custo da falência e aquisição forçada.
4) O que observar • O conselho consultivo de segurança e os protocolos de risco podem servir como modelo regulatório para outras empresas que lidam com dados genéticos e biométricos. • O direito continuado dos consumidores de excluir seus dados estabelece um precedente importante para privacidade genética. • Empresas de biotecnologia e saúde devem revisar imediatamente suas práticas de segurança à luz deste caso. • A venda de dados genéticos na dark web criou riscos de longo prazo para os 6,9 milhões de afetados, incluindo possível discriminação genética por seguradoras ou empregadores.
Fonte: BleepingComputer