El servicio de árboles genealógicos y pruebas genéticas 23andMe ha acordado el pago de 30 millones de dólares como compensación tras una demanda colectiva contra la compañía a causa de una violación de datos que sucedió el año pasado.
23andMe deberá pagar a los afectados para cubrir gastos como los incurridos en la lucha contra el robo de identidad, la instalación de sistemas de seguridad física o la búsqueda de tratamiento de salud mental.
También compensará económicamente a quienes viven en estados con leyes de privacidad genética y a aquellos cuya información de salud fue filtrada.
Por el momento el acuerdo todavía está pendiente de la aprobación de un juez. Este dará a conocer información a las partes afectadas que deseen participar en la acción legal.
23andMe también ha señalado que espera que 25 millones de dólares del acuerdo y los gastos legales relacionados estén cubiertos por la cobertura del seguro cibernético.
En el mencionado incidente de seguridad los actores de amenazas lograron usar 14.000 cuentas, lo que supondría el 0,1% de la base de usuarios de la empresa. Gracias a ellas pudieron apropiarse de los datos de ascendencia de 6,9 millones de perfiles conectados.
De estos 5,5 millones eran usuarios que utilizaban la función de Familiares, que conecta a personas con ADN común.
Los detalles filtrados incluían información de las cuentas de los usuarios, ubicación, informes de ascendencia, coincidencias de ADN, nombres de familia, fotos de perfil, fechas de nacimiento y otros.
El origen de la brecha
23andMe confirmó la existencia de la violación de datos el pasado mes de octubre, pero no reveló el alcance total del problema hasta diciembre.
La empresa deshabilitó temporalmente el servicio y achacó la intrusión a la técnica del robo de credenciales, en la que los cibermalos utilizan nombres de usuario y contraseñas que ya han sido expuestos a través de violaciones de datos de otros sitios web y que los usuarios suelen compartir para varios servicios o aplicaciones.
Pocas semanas después, en enero, los usuarios presentaron una demanda colectiva en San Francisco por no haber protegido adecuadamente su información personal.
Para más inri, también acusaron a 23andMe de no notificar a ciertos usuarios que los datos de personas con ascendencia judía asquenazí eran objetivo de dicha violación de datos.