数据被黑客在暗网出售后，基因检测平台23andMe被迫同意支付3000万美元以和解数据泄露诉讼

DNA检测巨头23andMe将支付3000万美元，以和解一起涉及690多万客户数据泄露的集体诉讼。作为拟议和解协议的一部分，该基因检测机构将赔偿受影响的客户，并为他们提供三年的安全监控计划访问权限。

23andMe于去年10月披露了数据泄露事件，但直到12月才确认整体影响。使用”DNA Relatives“功能的客户的姓名、出生年月和祖先信息等信息可能会因数据泄露而曝光。当时，23andMe将此次黑客攻击归咎于“凭证填充”（credential stuffing），这是一种使用以前安全漏洞中暴露的回收登录信息登录帐户的策略。

2024年1月，客户在旧金山法院对23andMe提起集体诉讼，指控该公司未能保护他们的隐私。他们还声称，该公司没有正确通知具有中国或阿什肯纳兹犹太血统的客户，黑客在暗网上出售信息时似乎专门针对他们。

此次泄密事件对这家本已陷入困境的公司造成了沉重打击。随着23andMe股价持续下跌，23andMe首席执行官Anne Wojcicki在今年早些时候试图将公司私有化，但特别委员会上个月拒绝了这一提议。和解协议提到了对公司财务状况的担忧，称“任何比和解协议金额高得多的诉讼判决都有可能无法收回。”23andMe发言人Katie Watson在一份声明中表示，公司预计网络保险将承担2500万美元的和解金：

我们已经签署了一份总额为3000万美元的现金支付和解协议，以解决所有与2023年凭证填充安全事件有关的美国索赔。原告律师已向法院提出初步批准该和解协议的动议。大约2500万美元的和解金和相关法律费用将由网络保险承保。我们仍然相信，这项和解符合23andMe客户的最佳利益，我们期待最终达成协议。

该集体诉讼和解协议草案于周四在旧金山联邦法院提交，正在等待司法批准。和解协议包括向受影响的客户支付现金，这些现金将在最终批准后十天内发放。

23andMe在周五提交的备忘录中表示： “23andMe认为该和解是公平、充分且合理的。”

23andMe还同意加强其安全协议，包括针对凭证填充攻击的保护、对所有用户强制进行双因素身份验证以及年度网络安全审核。

公司还必须制定并维护数据泄露事件响应计划，并停止保留不活跃或停用帐户的个人数据。在年度培训期间，还将向所有员工提供更新的信息安全计划。

该公司在提交的初步和解协议中表示：“23andMe否认诉状中提出的索赔和指控，否认未能妥善保护其消费者和用户的个人信息，并进一步否认和解集体代表要求法定损害赔偿的可行性。”

“23andMe否认有任何不当行为，且本协议在任何情况下均不得解释或视为23andMe对任何过错、责任、不当行为或损害索赔的证据或承认或让步。”

这项和解协议涉及了有关该基因检测公司未能保护用户隐私以及未告知客户黑客专门针对他们且他们的信息据称在暗网上出售的指控。

拟议的和解方案仍需得到法官的批准。

去年12月黑客在暗网出售从23andMe基因数据库窃取的数百万数据

2023年10月6日，23andMe发布博文称，黑客利用回收的登录信息获取账户访问权限，导致其基因检测和分析平台用户的数据在暗网论坛上流传。

在暗网数据泄露论坛BreachForums上，一名黑客发布了“100万行”阿什肯纳兹犹太人数据，并表示将以每个账户1至10美元的价格出售被盗的23andMe数据。这些数据包括用户姓名、个人资料照片、遗传血统结果、出生日期和地理位置。

23andMe证实了这些数据是真实的，黑客利用窃取的凭证和23andMe自己的一项DNA亲属（DNA Relatives）功能来查找和抓取数百万个账户的数据。

23andMe的博客文章提供了密码重置和多因素身份验证设置说明的链接。该公司还提供了其隐私和安全检查页面的链接，并表示需要帮助的用户可以向其支持团队发送电子邮件。