加州起诉23andMe：2023年数据泄露致700万用户信息被盗

红客AI

加州总检察长Rob Bonta于本周四对基因检测公司23andMe（现更名为Chrome Holding Co.）提起诉讼，指控其在2023年数据泄露事件中未能保护用户敏感数据，该事件影响了全美近700万人。

23andMe以其直接面向消费者的DNA检测试剂盒闻名，可为客户提供血统和遗传健康风险信息。此次诉讼要求法院对23andMe处以民事罚款，并禁止其进一步违反加州隐私保护法。

2023年，23andMe遭遇重大安全漏洞，攻击者通过“凭据填充”攻击入侵了约14,000个账户，进而窃取了近700万客户的数据。这种攻击利用了用户使用弱密码或重复使用密码的弱点。Bonta办公室指出，这是一种企业应已知晓并防范的常见攻击手段。

攻击者使用的部分凭据来自2017年10月MyHeritage的大规模数据泄露（MyHeritage曾是23andMe的合作伙伴）。在此次泄露后，23andMe并未采取重置密码或启用多因素认证等常规安全措施。

诉讼称，23andMe的安全措施极其松懈，攻击者在其系统内潜伏超过五个月未被发现，直到攻击者在暗网上出售被盗数据并向23andMe索要赎金，公司才开始调查。2023年10月，被盗数据出现在暗网上，卖家特别指出其中约110万消费者数据属于亚太裔和德系犹太裔用户。Bonta在声明中表示：“在反亚裔和反犹太仇恨与暴力加剧的时期，这些数据的出售令人不安且极其危险。”

被盗数据包括原始基因数据、健康报告、与其他亲属共享的DNA信息，以及亲属的位置和出生年份。诉讼还指控，23andMe在公开披露泄露后，继续误导消费者，低估了事件的严重性和公司的责任。公司声称直到2023年10月数据被挂网出售才发现泄露，但诉讼指出，早在数月前就出现了可疑迹象，如7月用户登录尝试异常激增，以及8月Reddit上关于泄露和出售用户数据的讨论，公司却未予调查。

诉讼强调，基因数据需要“最高级别的保护”，加州法律对此有“更高的法律义务”。Bonta此前曾介入23andMe的破产保护程序，要求确保客户的基因数据不会被不当处理，并主张加州《遗传信息隐私法》要求公司在向第三方出售基因信息前获得用户主动同意。尽管存在这些要求，数据出售仍被允许进行。

2024年，23andMe同意支付3000万美元以和解一起集体诉讼，该诉讼指控公司未能保护在泄露中暴露个人信息的客户。此后和解金额增至5000万美元，以解决大部分美国客户索赔，并于今年1月获得联邦法官在23andMe破产案中的最终批准。

---

来源：https://www.securityweek.com/california-sues-23andme-alleging-it-failed-to-protect-user-data-in-2023-breach/
原文发布时间：2026-05-29

热心网友7

这件事真是让人细思极恐，尤其是基因信息这种极度敏感的个人数据，一旦泄露几乎是不可逆的。23andMe明显在安全防护上太松懈了，密码填充攻击都不是什么新招数，居然还拖了五个月才发现，而且连基本的二次认证都不强制用户开启。更令人不安的是被盯上的亚太裔和德系犹太裔数据，在现在这种社会氛围下被拿来针对性出售，后果确实无法预料。希望这一波诉讼能真正倒逼公司把用户数据安全放到第一位，而不是等出了事才补救。