A empresa de testes genéticos 23andMe foi multada em 2,31 milhões de libras (cerca de 2,74 milhões de euros) pelo Information Commissioner's Office (ICO), a autoridade de proteção de dados do Reino Unido. A sanção surge na sequência de "falhas de segurança graves" que conduziram a uma devastadora fuga de dados em 2023, expondo informação altamente sensível de milhões de utilizadores.
Uma falha de segurança "profundamente prejudicial"
Segundo o regulador britânico, a 23andMe falhou em proteger adequadamente os dados dos seus clientes. A investigação concluiu que a empresa não implementou medidas robustas para impedir ataques de "credential stuffing", uma técnica onde os cibercriminosos usam credenciais roubadas de outras plataformas para aceder a contas na 23andMe. Este lapso de segurança permitiu que os atacantes operassem sem serem detetados durante cinco meses, entre abril e setembro de 2023.
John Edwards, o Comissário de Informação do Reino Unido, descreveu a situação como uma "fuga profundamente prejudicial". Num comunicado divulgado pelo Information Commissioner's Office (ICO), Edwards sublinhou a gravidade do incidente: "Como nos disse uma das pessoas afetadas: uma vez que esta informação está disponível, não pode ser alterada ou reemitida como uma password ou um número de cartão de crédito."
Dados genéticos e pessoais expostos online
A natureza dos dados comprometidos torna esta fuga particularmente alarmante. A informação roubada incluía dados de genótipo, relatórios de saúde e outros detalhes pessoais. Parte desta informação extremamente sensível foi posteriormente publicada em fóruns de hacking, como o BreachForums, e até mesmo num subreddit não oficial da 23andMe.
A fuga de dados afetou um vasto número de pessoas, incluindo 4,1 milhões de residentes do Reino Unido e da Alemanha. Adicionalmente, foi especificamente visado um grupo étnico, com a exposição dos dados de 1 milhão de pessoas com ascendência judaica Ashkenazi. Após a descoberta da intrusão, a 23andMe implementou finalmente medidas de segurança básicas, como a ativação da autenticação de dois fatores (2FA) por defeito e a exigência de reposição de passwords a todos os clientes.
Uma empresa em crise
Esta multa do ICO é o mais recente golpe para a 23andMe, que enfrenta um período conturbado. A empresa, sediada na Califórnia, já tinha declarado falência (através do processo Chapter 11) no final de março de 2025, anunciando planos para vender os seus ativos após vários anos de dificuldades financeiras.
A fuga de dados de 2023 deu origem a múltiplas ações judiciais coletivas. Numa tentativa de se proteger, a empresa alterou os seus Termos de Utilização em novembro de 2023 para dificultar a capacidade dos utilizadores de a processarem em tribunal. Em setembro de 2024, a gigante dos testes de ADN concordou em pagar 30 milhões de dólares (aproximadamente 27,6 milhões de euros) para encerrar um processo judicial relacionado com a exposição dos dados de 6,4 milhões de clientes em todo o mundo.
Nenhum comentário
Seja o primeiro!