23andMe culpa «descaradamente» a las víctimas de un La violación de datos afecta a 6,9 millones de usuarios.abogado que representa a las víctimas que presentan una demanda colectiva, Hassan Zavareei, dijo a TechCrunch.
Zavareei compartió un carta de los abogados de 23andMe que instaron a los usuarios que demandaron a «considerar la inutilidad de continuar con una acción en este caso», porque sus reclamos supuestamente carecen de fundamento y «la información a la que potencialmente se accedió no puede usarse para causar ningún daño».
El año pasado, los piratas informáticos accedieron a 14.000 cuentas de 23andMe utilizando contraseñas que habían sido violadas previamente durante incidentes de seguridad en otros sitios web. Al utilizar esta táctica, conocida como relleno de credenciales, los piratas informáticos podrían acceder a los datos personales de millones de usuarios de 23andMe que optaron por un Función de parientes de ADNincluida información genética como el porcentaje de ADN compartido con usuarios comprometidos.
Si bien 23andMe afirmó que el caso no tenía fundamentos, los tribunales aún no han evaluado las numerosas cuestiones planteadas por los usuarios que demandaron a la empresa por presuntos daños. En diciembre, un tribunal de distrito estadounidense en Illinois encontró que más de 100 usuarios representados por la empresa de Zavareei habían exigido «plausiblemente» daños y perjuicios que superaban los 5 millones de dólares. Esas víctimas han alegado que 23andMe les debía una compensación por la pérdida del valor de su información de identificación personal, los costos de «remediar los impactos de la violación» y la angustia emocional. Las víctimas también quieren que el tribunal ordene a 23andMe devolver todas las ganancias retenidas por su «promesa fallida de salvaguardar sus datos».
Hasta ahora, 23andMe se ha visto afectada por más de 30 demandas presentadas en tribunales federales y estatales de EE. UU., así como en tribunales de Columbia Británica y Ontario, Canadá, como resultado de la infracción, lo que sugiere que 23andMe podría terminar debiendo mucho más de 5 dólares. millón. Debido a la cantidad de víctimas que demandan, existe un esfuerzo por consolidar estos casos a través de litigios multidistritales para disminuir la carga de los tribunales.
¿23andMe hizo lo suficiente para salvaguardar los datos?
En la demanda colectiva presentada por la firma de Zavareei, más de 100 víctimas acusaron a 23andMe de violar varias leyes estatales, incluida la Ley de Derechos de Privacidad de California (CPRA), considerada la ley de privacidad del consumidor más estricta de Estados Unidos.
Bajo la CPRAlas empresas que recopilan datos confidenciales deben proporcionar «procedimientos de seguridad razonables», pero la ley sigue siendo vaga y no estipula lo que se considera razonable.
«Una empresa que recopila información personal de un consumidor deberá implementar procedimientos y prácticas de seguridad razonables y apropiados a la naturaleza de la información personal para protegerla del acceso, destrucción, uso, modificación o divulgación no autorizados o ilegales», dice la ley.
Esta vaguedad aparentemente ha dejado espacio para que 23andMe argumente que los usuarios que «reciclaron negligentemente y no actualizaron sus contraseñas» después de «incidentes de seguridad pasados» fueron los culpables de la violación y «por lo tanto, el incidente no fue el resultado de la supuesta falla de 23andMe». mantener medidas de seguridad razonables según la CPRA».
«El incidente fue el resultado de que los usuarios no salvaguardaron las credenciales de sus propias cuentas, por lo que 23andMe no tiene ninguna responsabilidad», decía la carta de 23andMe.
Pero Zavareei le dijo a TechCrunch que «señalar con el dedo a 23andMe no tiene sentido». Zavareei ofreció una interpretación legal diferente de lo que deberían haberse considerado «procedimientos de seguridad razonables» para un sitio web que recopila datos tan sensibles que a veces se consideran más valiosos en el mercado negro, como datos genéticos y de salud.
«23andMe sabía o debería haber sabido que muchos consumidores usan contraseñas recicladas y, por lo tanto, 23andMe debería haber implementado algunas de las muchas salvaguardas disponibles para proteger contra el relleno de credenciales, especialmente considerando que 23andMe almacena información de identificación personal, información de salud e información genética en su plataforma. ”, dijo Zavareei.