
이전에 23andMe로 알려졌던 Chrome Holding Co.는 2023년 수백만 명의 민감한 데이터를 손상시킨 대규모 보안 침해 사건에 대해 캘리포니아 법무장관 Rob Bonta가 제기한 소송에 직면해 있습니다. Bonta는 회사가 고객을 오도하고 “건강, 유전적 소인 및 위험 요인, 생물학적 친척, 조상 및 민족과 관련된 민감한 개인 정보 및 유전 데이터”를 보호하지 못했다고 비난하고 있습니다. 소송에 따르면 이 사건은 미국 전역에서 700만 명의 사용자에게 영향을 미쳤으며 그 중 855,541명이 캘리포니아 주민이었다고 소송에 따르면.
고객에게 조상의 기원과 유전적 건강 위험을 확인할 수 있도록 DNA 테스트 키트를 제공한 23andMe는 2023년에 악의적인 행위자가 크리덴셜 스터핑을 통해 사용자의 계정에 액세스할 수 있었다는 사실을 인정했습니다. Bonta는 기업, 특히 유전자 데이터를 수집하는 기업이 이러한 일반적인 사이버 공격 방법을 방지해야 한다고 주장했습니다.
23andMe의 경우 해커는 23andMe와 협력한 또 다른 계보 웹사이트인 MyHeritage에 대한 공격을 포함하여 이전 데이터 침해에서 훔친 자격 증명을 사용한 것으로 보입니다. Bonta는 23andMe가 MyHeritage의 침해 사실을 인지했음에도 불구하고 사용자가 자격 증명을 재사용하는 것을 확인하거나 방지하지 않았다고 말했습니다. 23andMe가 사용자들에게도 MyHeritage 계정에 가입하도록 권장했기 때문에 이는 특히 주목할 만합니다.
악의적인 행위자가 수백만 개의 개인 정보를 훔칠 수 있었던 것은 크리덴셜 스터핑뿐만이 아니었습니다. 공격 방법을 사용하여 14,000개의 계정에 침입한 후 웹 사이트의 DNA Relatives 기능의 취약점을 악용하여 더 많은 고객의 데이터에 접근했습니다. Bonta는 회사의 보안 조치가 너무 느슨해 해커들이 5개월 동안 시스템 내부에서 탐지되지 않은 채 활동할 수 있었다고 말했습니다. 그는 악의적인 행위자가 이미 다크 웹에서 훔친 사용자 데이터를 판매하고 몸값을 요구하기 시작한 후에야 회사가 조사를 시작했다고 덧붙였습니다.
Bonta는 23andMe가 고객에게 침해 사실을 알릴 때 중요한 정보를 누락했다고 비난했습니다. 그는 회사가 훔친 데이터의 민감성을 경시하고 DNA Relatives 기능이 “본질적으로 공개적”이라고 주장하면서 그들이 판매하는 데이터 세트에 아시아계 미국인과 태평양 섬 주민은 물론 유대인 사용자에 대한 정보가 포함되어 있음을 강조하는 악의적인 행위자들과 비밀리에 협상하고 있다고 말했습니다.
Bonta는 “다크 웹에서 이 데이터를 판매하는 것은 아시아계 미국인과 태평양 섬 주민에 대한 반감, 유태주의적 증오와 폭력이 고조되는 시기에 이루어졌으며, 해당 정보의 매우 개인적이고 식별 가능한 성격에 대한 관심을 명시적으로 불러일으켰습니다.”라고 썼습니다. “이것은 혼란스럽고 엄청나게 위험합니다.”
23andMe는 2025년 3월 파산 신청을 했습니다. AP 또한 회사가 고객을 보호하지 못했다고 비난하는 집단 소송에 직면했으며 파산을 감독하는 판사는 올해 초 5천만 달러의 합의금을 승인했습니다.
관련 정보는 아래 링크에서 확인하세요