Иск против 23andMe из-за взлома 2023 года никуда не исчез после смены владельца: 29 мая 2026 года генпрокурор Калифорнии Роб Бонта подал новый иск к Chrome Holding Co., компании, которая раньше называлась 23andMe. Для IT-рынка это очередное напоминание, что утечка генетических данных живет дольше любого ребрендинга, а аргумент «виноваты пользователи с плохими паролями» в суде работает примерно так же хорошо, как пароль 123456.
Как пишет The Register, претензии штата сводятся к двум вещам. Во-первых, 23andMe якобы не внедрила базовые меры защиты для крайне чувствительных данных: генетических профилей, семейных связей и сведений о здоровье. Во-вторых, компания, по версии прокуратуры, вводила клиентов в заблуждение уже после инцидента: занижала масштаб последствий, называла украденные сведения почти публичными и одновременно вела переговоры с атакующим, в том числе о выкупе и удалении опубликованных материалов о взломе.
Сама история давно вышла за рамки привычного «утекли логины и почты». По данным регуляторов, злоумышленник под псевдонимом Golem изначально получил доступ примерно к 14 тысячам аккаунтов через credential stuffing, то есть с помощью повторно использованных паролей. Но из-за функции DNA Relatives, которая показывает генетические совпадения и помогает находить родственников, компрометация этих аккаунтов потянула за собой данные почти 7 миллионов клиентов. И это уже не точечный взлом, а системный провал в архитектуре доступа: одна удачная серия входов открыла дорогу к массиву чужих профилей, которые сами по себе в атаку не попадали.
Отдельно прокуратура подчеркивает, что 23andMe не замечала вторжение пять месяцев. Для компании, которая хранит ДНК-данные, это звучит особенно плохо. Еще хуже выглядит дальнейшая коммуникация. Вместо того чтобы сразу признать слабость собственной модели защиты, компания делала упор на том, что часть клиентов использовала повторяющиеся пароли. Этот тезис не был полностью ложным, но и полноценным объяснением тоже не стал. Ключевой вопрос регулятора предсказуем: если сервис работает с настолько чувствительной информацией, почему многофакторная аутентификация не была обязательной по умолчанию? По состоянию на момент публикации 23andMe все еще не требует 2FA/MFA для всех пользователей, хотя регулярно предлагает ее включить.
Юридически история тоже становится тяжелее. Иск подан не к старой публичной 23andMe как таковой, а к Chrome Holding Co., то есть к структуре, унаследовавшей проблемы после корпоративной перестройки. Активы 23andMe в июле 2025 года выкупил TTAM Research Institute, некоммерческий институт, основанный и возглавляемый Энн Войжицки, соосновательницей и бывшим CEO компании на момент взлома. Организация отдельно заявила, что не участвует в споре по существу и не имеет отношения к описанным в жалобе событиям, потому что иск касается операций прежней коммерческой структуры. Формально позиция понятна. Практически же для бренда разницы немного: пользователи видят тот же сервис, те же тесты слюны и ту же ДНК-инфраструктуру, только с более сложной табличкой на двери.
Это не первый удар по компании после инцидента 2023 года. В 2024-м 23andMe согласилась на мировое соглашение по коллективному иску на 30 миллионов долларов. В июне 2025 года британский регулятор ICO оштрафовал компанию на 2,3 миллиона фунтов, указав на слабые требования к паролям, слишком позднее обнаружение атаки и отсутствие мер против массовой выгрузки генетических данных. Новый иск от Калифорнии добавляет к этому еще более токсичную для репутации деталь: если версия прокуратуры подтвердится, компания не просто недооценила угрозу, а публично смягчала формулировки в тот момент, когда уже обсуждала с атакующим выкуп и уязвимости, использованные при взломе.
Для разработчиков и продуктовых команд здесь нет ничего экзотического, только неприятная конкретика. Если у вас есть функции социального графа, рекомендации по связям между людьми или любые механики «покажи мне похожих пользователей», то ваша модель угроз не ограничивается тем аккаунтом, который взломали первым. Ущерб может каскадно распространяться по связанным сущностям, особенно если речь идет о медицинских, биометрических или генетических данных. В такой архитектуре MFA по желанию пользователя, слабый мониторинг аномальных входов и отсутствие ограничений на массовое извлечение данных выглядят не как отдельные недоработки, а как приглашение к разбирательству на миллионы долларов и несколько лет вперед.
Для бизнеса вывод еще жестче. Утечка генетических данных отличается от обычного инцидента с PII тем, что такой набор сведений нельзя перевыпустить, как карту или пароль. Человек не может «сменить ДНК», а значит срок жизни последствий у такого взлома почти неприлично длинный. Поэтому регуляторы будут смотреть не только на сам факт компрометации, но и на то, как компания проектировала защиту, что говорила клиентам в первые недели кризиса и не пыталась ли подменить разговор о своих ошибках разговором о небрежных пользователях. Для всей отрасли, которая любит повторять мантру про data-driven медицину, вопрос теперь звучит проще: готовы ли компании обращаться с генетическими данными как с активом повышенной токсичности, или рынок продолжит учиться на чужих и очень дорогих примерах.
The post 23andMe получила новый иск из-за утечки генетических данных appeared first on iTech News.