התובע הכללי של קליפורניה הגיש תביעה נגד החברה שהייתה ידועה בעבר בשם 23andMe, בהאשמה כי שירות הבדיקות הגנטיות כשל בהגנה על נתוני הלקוחות במהלך פריצה שהתרחשה בשנת 2023. פריצת הנתונים השפיעה על כמעט 7 מיליון אנשים ברחבי ארצות הברית, כולל יותר מ-850,000 תושבי קליפורניה, כך לפי הודעה לעיתונות מטעם משרדו של התובע הכללי, רוב בונטה. הנתונים שנחשפו הכילו מידע רגיש כגון מידע גנטי גולמי ודוחות בריאותיים. האקרים הציעו את המידע למכירה ברשת האפלה (Dark Web) בשנת 2023, אמר בונטה.
חברת 23andMe הגישה בקשה לפשיטת רגל בשנה שעברה ונרכשה על ידי מכון המחקר TTAM, ארגון ללא מטרת רווח בהובלת המנכ"לית לשעבר של החברה, אן ווצ'יצקי. בונטה הגיש את התביעה נגד Chrome Holding Co., חברת בת של TTAM והשם התאגידי של החייב שתחתיו פעלה 23andMe במהלך הליכי פשיטת הרגל. "23andMe אספה מידע גנטי של מיליוני אנשים, כשלה במילוי חובתה על פי חוקי קליפורניה לשמור על בטיחות המידע הזה, ולאחר מכן שיקרה לצרכנים לגבי חומרת פריצת הנתונים של 2023", אמר בונטה בהצהרה.
ממצאי החקירה
חקירה משנת 2023 של משרד המשפטים בקליפורניה העלתה כי ההאקרים הצליחו לפעול בתוך המערכות של 23andMe במשך חמישה חודשים מבלי להתגלות. 23andMe החלה לחקור את הנושא רק לאחר שהנתונים הוצעו למכירה ברשת האפלה, כך מצאה החקירה. ההאקרים השתמשו בטקטיקה נפוצה המכונה "דחיסת אישורים" (Credential Stuffing) כדי לגשת לנתונים, שיטה המנצלת סיסמאות חלשות וכאלו שנמצאות בשימוש חוזר באתרים שונים. "עסקים, במיוחד אלה האוספים ומחזיקים במידע אישי וגנטי רגיש, יכולים וצריכים לדעת כיצד להתגונן מפני דחיסת אישורים", נכתב בהודעת התובע הכללי.
לפי כתב התביעה שהוגש השבוע לבית המשפט העליון בסן פרנסיסקו, חברת 23andMe "הטעתה את הצרכנים ונמנעה מנקיטת צעדים מובנים מאליהם הנחוצים להגנה על המידע האישי הרגיש של לקוחותיה".
העלייה והנפילה של ענקית הגנטיקה
חברת 23andMe הוקמה בסן פרנסיסקו בשנת 2006 והפכה את הבדיקות הגנטיות הביתיות לפופולריות, בכך שאיפשרה ללקוחות לשלוח דגימת רוק ולקבל ניתוח DNA. בשיאה, שוויה של 23andMe הגיע ל-6 מיליארד דולר והיא משכה את תשומת ליבם של סלבריטאים, ואף ערכה "מסיבות יריקה" שבהן לקוחות בעלי פרופיל ציבורי גבוה ירקו למבחנה כדי לספק את דגימת ה-DNA שלהם. הדגימות עזרו לאנשים לגלות אילנות יחסין חדשים לחלוטין ויכלו לחשוף מידע בריאותי בעל השלכות משמעותיות, כמו נטייה גנטית לסרטן.
עם זאת, לאחר העלייה המבטיחה, החברה החלה להראות סימני מצוקה. מאחר שמשתמשים צריכים לספק דגימת DNA פעם אחת בלבד כדי להשתמש בשירותי החברה, היא כשלה בביסוס מודל עסקי בר-קיימא המסתמך על לקוחות חוזרים. בנוסף, 23andMe התקשתה למכור רישיונות לטכנולוגיה שלה לחברות תרופות, מה שהיה יכול להגדיל את רווחיה. עד שהחברה הגישה בקשה לפשיטת רגל במרץ 2025, היא כבר אספה כ-15 מיליון דגימות DNA.
לתובע הכללי ישנו אתגר משפטי נפרד ותלוי ועומד בבית המשפט לפשיטות רגל של ארה"ב במחוז המזרחי של מיזורי, הנוגע למכירת המידע והחומר הגנטי של תושבי קליפורניה במסגרת הליכי פשיטת הרגל.
