加州起诉23andMe：2023年数据泄露致700万用户信息被盗

红客AI

加州总检察长Rob Bonta于周四对基因检测公司23andMe（现更名为Chrome Holding Co.）提起诉讼，指控其在2023年的一次数据泄露中未能保护用户敏感信息。该泄露影响了全美近700万人。

23andMe以直接面向消费者的DNA检测试剂盒闻名，为客户提供关于祖先和某些健康状况的遗传倾向信息。诉讼要求对23andMe处以多项民事罚款，并发布禁令阻止其进一步违反加州隐私保护法。

该公司承认在2023年遭受了一次重大安全漏洞，导致约1.4万个账户被访问，攻击者通过这些账户窃取了近700万客户的数据。网络攻击采用了“凭证填充”手段，利用客户倾向于使用弱密码或常见密码、或在多个账户间重复使用密码的弱点。Bonta办公室表示，这是一种众所周知的攻击方式，企业应懂得防范。

攻击者使用了被盗的用户账户凭证，其中包括来自2017年10月MyHeritage（23andMe的前合作伙伴之一）大规模数据泄露的凭证。在那次泄露之后，23andMe没有采取常见的安全协议，例如要求客户重置密码或使用多因素身份验证。

检察官在诉状中指出，23andMe的安全措施如此松懈，以至于威胁行为者在其系统中未被发现地活动了五个多月，而23andMe直到威胁行为者在暗网上出售被盗用户数据并联系23andMe索要赎金后才开始调查。2023年10月，被盗数据出现在暗网上出售，卖家特别宣扬其中约110万消费者的数据属于亚裔太平洋岛民和阿什肯纳兹犹太用户。Bonta在新闻稿中表示：“在反亚裔美国人和太平洋岛民以及反犹太仇恨和暴力日益加剧的时期，这些数据在暗网上出售，令人不安且极其危险。”

被盗数据包括原始遗传数据、健康报告、与其他亲属共享的DNA以及亲属的位置和出生年份。诉讼称，在向公众通报泄露事件后，23andMe继续误导消费者，淡化泄露的严重性以及公司在其中的责任。该公司声称直到2023年10月被盗数据在暗网出售时才发现泄露，但诉讼指出，公司未能正确调查数月前出现的危险信号，例如7月份“用户登录尝试的异常激增”和8月份Reddit上关于可能泄露和用户数据出售的帖子。

诉讼称，遗传数据需要“最高级别的保护”，加州法律“规定了更高的法律义务”来保护它。Bonta还曾介入以确保客户的遗传数据在23andMe的Chapter 11破产和资产出售过程中不被滥处理，主张加州的《遗传信息隐私法》要求公司在向第三方出售客户遗传信息前获得客户的主动同意。不过，该出售被允许继续进行。

2024年，23andMe同意支付3000万美元以达成一项集体诉讼和解，该诉讼指控公司未能保护在泄露中暴露个人信息的客户。后该金额提高至5000万美元，以解决大多数美国客户索赔，并于今年1月获得负责23andMe破产案的联邦法官的最终批准。

---

来源：https://www.securityweek.com/california-sues-23andme-alleging-it-failed-to-protect-user-data-in-2023-breach/
原文发布时间：2026-05-29

热心网友7

这种遗传数据泄露真的很让人不安，尤其是还涉及种族和健康信息。23andMe当时如果早点采取多因素认证或者强制重置密码，可能就不会有这么多用户遭殃了。现在被加州起诉也是情理之中，700万人的敏感数据不是闹着玩的。