La empresa de genómica personal 23andMe se enfrenta a más de 30 demandas de clientes que afirman que sus datos genéticos y de ascendencia fueron robados por piratas informáticos y puestos a la venta en Internet. La filtración de datos, de la que se informó en octubre de 2023, afectó a casi la mitad de los 14 millones de clientes de la empresa. Los piratas informáticos pudieron acceder a los datos de millones de usuarios aprovechando una función que permite a los clientes compartir sus datos con sus familiares de ADN en la plataforma.
Sin embargo, en lugar de asumir la responsabilidad del desastre de seguridad de los datos, 23andMe está culpando a los propios clientes por utilizar contraseñas recicladas que se vieron comprometidas en incidentes de seguridad anteriores. La compañía también argumenta que los datos robados no pueden ser utilizados para ningún daño o perjuicio monetario, ya que no incluyen ninguna información sensible como números de la seguridad social o detalles de pago.
Los clientes que demandan a la empresa están indignados por la respuesta de 23andMe y acusan a la empresa de dejarlos en la estacada y de restar importancia a la gravedad de la filtración. Afirman que 23andMe debería haber implementado mejores medidas de seguridad para protegerse contra la suplantación de credenciales, sobre todo teniendo en cuenta que la empresa almacena información de identificación personal, información sanitaria e información genética en su plataforma.
La empresa restableció todas las contraseñas de los clientes y les exigió que utilizaran la autenticación multifactor, que antes de la filtración era opcional. La empresa también modificó sus condiciones de servicio para dificultar la agrupación de los clientes a la hora de presentar una demanda contra ella. Abogados con experiencia en representar a víctimas de filtraciones de datos dijeron que los cambios eran «cínicos», «interesados» y «un intento desesperado» de protegerse y disuadir a los clientes de buscar justicia.