O procurador-geral da Califórnia está processando a Chrome Holding, antiga 23andMe, por não proteger os dados de quase 7 milhões de usuários. Um vazamento em 2023 expôs informações genéticas e de saúde, além de dados sobre ancestrais e etnias. Hackers venderam as informações na internet, mirando especialmente judeus e asiáticos.
Logotipo da 23andMe em uma convenção de genealogia
O procurador-geral da Califórnia, Rob Bonta, anunciou que vai processar a Chrome Holding, nova dona da 23andMe, acusando a empresa de não proteger os dados dos clientes. O caso começou após uma investigação sobre um grande vazamento de informações em 2023.
Esse vazamento expôs informações genéticas e riscos de saúde de quase 7 milhões de usuários. Também foram vazados dados sobre parentes biológicos, ancestralidade e etnia das pessoas.
- 7 milhões de pessoas tiveram seus dados genéticos vazados: Um dos maiores vazamentos de dados de saúde da história.
- Hackers miraram grupos específicos: Dados de judeus e asiático-americanos foram vendidos de propósito na internet.
- Segurança falha: A empresa não usou sistemas básicos para proteger as senhas dos usuários.
- Empresa já havia sido multada no Reino Unido: A 23andMe pagou uma multa de 2,3 milhões de libras por causa do mesmo vazamento.
- Dados genéticos são super sensíveis: Eles podem ser usados por seguros de saúde, o que preocupa as pessoas.
"Nossa investigação descobriu que a empresa não tomou as medidas mais básicas para proteger as informações dos usuários", disse Bonta. Ele também acusou a 23andMe de "mentir para os consumidores sobre a gravidade do vazamento de dados de 2023".
A BBC pediu um comentário da Chrome Holding, mas ainda não teve resposta.
A empresa mudou de nome depois que a 23andMe faliu no ano passado.
Bonta também alega que os hackers que venderam os dados na internet escura (dark web) destacaram que as informações eram de usuários asiático-americanos e judeus.
"Isso é perturbador e extremamente perigoso", disse Bonta, especialmente em um momento de "crescente ódio e violência contra asiático-americanos e judeus".
O ataque dos hackers foi do tipo "recheio de credenciais". Isso significa que eles usaram senhas vazadas em outros golpes para tentar entrar nas contas da 23andMe, já que muitas pessoas usam a mesma senha em vários sites.
O vazamento de 2023 fez com que a empresa fosse investigada por autoridades do mundo inteiro.
No ano passado, a 23andMe foi multada em 2,31 milhões de libras (cerca de R$ 17 milhões) pelo Information Commissioner's Office (ICO) do Reino Unido. O órgão disse que a empresa não colocou medidas de segurança adequadas para proteger os dados dos usuários antes do vazamento.
O ICO informou que os dados pessoais de 155.592 pessoas no Reino Unido foram acessados pelos hackers.
A empresa afirmou que "fez vários compromissos para aumentar a proteção dos dados e a privacidade dos clientes".
Na lei de proteção de dados do Reino Unido, os dados genéticos são considerados uma categoria especial e precisam de mais cuidados por serem muito sensíveis.
A investigação do ICO foi feita em conjunto com o Comissário de Privacidade do Canadá. Eles concluíram que a 23andMe violou a lei do Reino Unido por não ter medidas de segurança e verificação adequadas no processo de login dos clientes.
A 23andMe foi criticada novamente no ano passado, quando os usuários reclamaram que estavam tendo dificuldades para excluir suas contas depois que a empresa entrou com um pedido de falência para se vender.
Na época, alguns usuários ficaram preocupados com a possibilidade de seguradoras de saúde comprarem seus dados genéticos e usá-los para decidir se dariam ou não cobertura de saúde.
A 23andMe foi fundada por Anne Wojcicki, irmã da falecida chefe do YouTube, Susan Wojcicki, e ex-esposa do cofundador do Google, Sergey Brin.
A empresa já teve como clientes nomes famosos como Snoop Dogg, Oprah Winfrey e Eva Longoria. No seu auge, as ações da empresa valiam mais de US$ 300, mas despencaram em 2024.
