A empresa de testes genéticos 23andMe, agora sob a Chrome Holding Co., concordou em pagar US$ 18 milhões para resolver alegações de que não protegeu adequadamente os dados genéticos de seus clientes. A violação de dados, revelada em outubro de 2023, ocorreu após ataques de ‘credential stuffing’ que passaram despercebidos por cinco meses, comprometendo informações de 6,9 milhões de clientes, incluindo dados de ancestralidade genética. A investigação liderada pela procuradora-geral de Nova York, Letitia James, revelou que a empresa carecia de medidas básicas de segurança, como autenticação multifatorial e monitoramento de intrusões. Inicialmente, a 23andMe negou a violação, atribuindo a culpa aos hábitos de senha dos clientes. O acordo inclui novas exigências de segurança, como um conselho consultivo de segurança de dados e protocolos de análise de risco. Além disso, a empresa enfrentou várias ações coletivas e, em 2025, declarou falência, levando a uma aquisição por US$ 305 milhões. O caso destaca a importância da proteção de dados sensíveis e as consequências legais de falhas de segurança.
Fonte: https://www.bleepingcomputer.com/news/security/23andme-to-pay-18-million-in-new-genetics-data-breach-settlement/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/07/2026 • Risco: ALTO
VAZAMENTO
23andMe paga US$ 18 milhões após violação de dados genéticos
RESUMO EXECUTIVO
A violação de dados da 23andMe expõe a vulnerabilidade de empresas que lidam com informações sensíveis. O caso ressalta a necessidade de medidas de segurança robustas e a responsabilidade legal em proteger dados pessoais, especialmente em um contexto de crescente regulamentação como a LGPD no Brasil.
💼 IMPACTO DE NEGÓCIO
Financeiro
Custos diretos de liquidações e possíveis multas regulatórias.
Operacional
Dados de 6,9 milhões de clientes foram comprometidos e oferecidos à venda na dark web.
Setores vulneráveis
['Tecnologia', 'Saúde', 'Serviços financeiros']
📊 INDICADORES CHAVE
6,9 milhões de clientes afetados
Indicador
US$ 18 milhões em acordo de liquidação
Contexto BR
US$ 30 milhões em outro acordo de ação coletiva
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar políticas de segurança de dados e práticas de autenticação.
2
Implementar autenticação multifatorial e monitoramento de atividades suspeitas.
3
Monitorar continuamente tentativas de acesso não autorizadas e atividades anômalas.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a proteção de dados sensíveis e as consequências legais de falhas de segurança, especialmente em um cenário onde a LGPD é rigorosamente aplicada.
⚖️ COMPLIANCE
Implicações diretas para a LGPD, que exige proteção rigorosa de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).