23andMe paga US 18 milhões após violação de dados genéticos
A empresa de testes genéticos 23andMe, agora sob a Chrome Holding Co., concordou em pagar US$ 18 milhões para resolver alegações de que não protegeu adequadamente os dados genéticos de seus clientes. A violação de dados, revelada em outubro de 2023, ocorreu após ataques de ‘credential stuffing’ que passaram despercebidos por cinco meses, comprometendo informações de 6,9 milhões de clientes, incluindo dados de ancestralidade genética. A investigação liderada pela procuradora-geral de Nova York, Letitia James, revelou que a empresa carecia de medidas básicas de segurança, como autenticação multifatorial e monitoramento de intrusões. Inicialmente, a 23andMe negou a violação, atribuindo a culpa aos hábitos de senha dos clientes. O acordo inclui novas exigências de segurança, como um conselho consultivo de segurança de dados e protocolos de análise de risco. Além disso, a empresa enfrentou várias ações coletivas e, em 2025, declarou falência, levando a uma aquisição por US$ 305 milhões. O caso destaca a importância da proteção de dados sensíveis e as consequências legais de falhas de segurança.
