Cơ quan giám sát quyền riêng tư tại Anh và Canada đã khởi đầu một cuộc điều tra chung vào vụ vi phạm dữ liệu tại 23andMe vào năm ngoái.
Vào ngày thứ Hai, Văn phòng Ủy ban thông tin của Anh (ICO) và Văn phòng Ủy ban Bảo vệ Quyền riêng tư của Canada (OPC) đã thông báo về cuộc điều tra vào công ty kiểm tra gen này, nói rằng các tổ chức sẽ sử dụng 'tài nguyên và chuyên môn kết hợp của hai Văn phòng của họ.'
Vào năm ngoái, 23andMe đã tiết lộ một sự cố an ninh đã ảnh hưởng đến dữ liệu gen và tổ tiên của 6,9 triệu người dùng, tương đương khoảng một nửa số người dùng tổng thể của họ. Trong thông báo về vi phạm dữ liệu, công ty cho biết họ không phát hiện hoạt động của hacker trong khoảng năm tháng, từ tháng 4 đến tháng 9 năm 2023. 23andMe cho biết họ chỉ nhận biết về việc đột nhập tài khoản vào tháng 10 năm 2023, khi hacker quảng cáo dữ liệu đã đánh cắp trên diễn đàn 23andMe không chính thức và một diễn đàn hack nổi tiếng.
Dữ liệu bị đánh cắp bao gồm tên, năm sinh, nhãn quan hệ, phần trăm DNA được chia sẻ với người thân, báo cáo tổ tiên và vị trí tự báo cáo.
Hacker đã đột nhập vào khoảng 14.000 tài khoản của khách hàng 23andMe bằng cách tái sử dụng mật khẩu từ các vi phạm trước đó, một kỹ thuật được gọi là password spraying. Từ những tài khoản 14.000 đó, hacker đã có thể thu thập thông tin về hàng triệu người khác vì tính năng opt-in gọi là DNA Relatives, cho phép người dùng chia sẻ tự động một số thông tin của họ với những người khác cũng đã chọn, với mục tiêu tìm ra người thân ở xa. Đó là cách hacker đã có thể thu thập thông tin về 6,9 triệu người dùng chỉ bằng cách đột nhập vào 14.000 tài khoản.
Trong một tuyên bố, Người ủy ban ICO John Edwards đã được trích dẫn nói rằng người 'cần tin tưởng rằng bất kỳ tổ chức nào xử lý thông tin cá nhân nhạy cảm nhất của họ đều có các biện pháp bảo mật và hệ thống bảo vệ thích hợp.'
'Vi phạm dữ liệu này đã ảnh hưởng quốc tế, và chúng tôi mong đợi hợp tác với đối tác Canada của chúng tôi để đảm bảo thông tin cá nhân của người dân tại Anh được bảo vệ,' ông Edwards nói.
Cuộc điều tra chung giữa Anh và Canada sẽ xem xét phạm vi thông tin bị tiết lộ và tổn thất tiềm năng cho các nạn nhân; liệu 23andMe 'có biện pháp bảo vệ đủ' để bảo vệ dữ liệu nhạy cảm của người dùng không; và liệu 23andMe đã 'thông báo đầy đủ' cho ICO và OPC không.
Người phát ngôn của 23andMe không ngay lập tức trả lời yêu cầu bình luận.