Jaksa Agung California menggugat perusahaan pengujian genetik konsumen yang dulu dikenal sebagai 23andMe, dengan tuduhan bahwa perusahaan tersebut gagal melindungi informasi pribadi sensitif para pelanggannya dalam sebuah pelanggaran data masif pada tahun 2023 yang mengekspos data leluhur dan genetik hampir 7 juta orang.
Jaksa Agung Rob Bonta mengajukan gugatan tersebut pada hari Kamis di Pengadilan Tinggi San Francisco terhadap Chrome Holding Co., yang sebelumnya bernama 23andMe, menuduh perusahaan itu gagal menyelidiki atau menanggapi secara memadai berbagai peringatan bahwa sistemnya telah dibobol. Kit uji mandiri yang dikirimkan melalui pos ini sempat identik dengan pengujian DNA sebelum akhirnya mengajukan kebangkrutan pada tahun 2025.
Pada 2023, para pelaku cyber menerobos sistem 23andMe menggunakan “serangan credential-stuffing,” yaitu suatu metode yang membanjiri akun-akun email dengan segudang nama pengguna dan kata sandi yang dicuri dari serangan-serangan sebelumnya yang tidak berkaitan. Selama berbulan-bulan, para penyusup berhasil membawa kabur data pribadi lebih dari 6,9 juta jiwa.
“Measures keamanan 23andMe begitu lemah sehingga sang aktor ancaman mampu beroperasi tanpa terdeteksi di dalam sistem 23andMe selama lebih dari lima bulan, dan yang luar biasa, 23andMe baru mulai menyelidiki setelah aktor ancaman tersebut menawarkan data pengguna yang dicuri untuk dijual di dark web serta menghubungi 23andMe untuk meminta tebusan,” kata kantor Bonta dalam keluhan mereka.
Perusahaan yang berbasis di San Francisco ini, yang memungkinkan orang mengirimkan materi genetik dan mendapatkan gambaran tentang asal-usul mereka, mengungkapkan pada Oktober 2023 bahwa peretas telah mengakses data pelanggan dalam pelanggaran data berkepanjangan yang menargetkan pelanggan dengan keturunan Tionghoa atau Yahudi Ashkenazi. Data curian dari lebih dari 1 juta pengguna keturunan Asia-Pasifik dan Yahudi Ashkenazi kemudian diposting untuk dijual di dark web.
“Penjualan data ini di dark web terjadi di tengah meningkatnya kebencian dan kekerasan anti-Asia-Amerika dan Kepulauan Pasifik serta antisemitisme,” kata Bonta dalam siaran pers. “Ini meresahkan dan sangat berbahaya.”
Sebuah gugatan pada Januari 2024 menuduh perusahaan tidak melakukan cukup banyak untuk melindungi pelanggannya dan tidak memberitahu pelanggan tertentu bahwa data mereka ditargetkan secara spesifik. Perusahaan itu kemudian menyelesaikan gugatan tersebut dengan denda sebesar 30 juta dolar.
Perwakilan 23andMe tidak segera menanggapi permintaan komentar.
Pada puncaknya, 23andMe menjadi nama yang paling dikenal di bidang pengujian DNA mandiri, dengan pengguna membayar hingga 99 dolar untuk kit yang memberi mereka wawasan tentang susunan genetik, kerabat potensial, dan silsilah mereka. Namun, momentum perusahaan melambat dalam beberapa tahun terakhir setelah penawaran publiknya senilai 3,5 miliar dolar pada tahun 2021.
Pada Juli lalu, TTAM Research Institute, sebuah organisasi nirlaba yang dipimpin oleh Anne Wojcicki, salah satu pendiri sekaligus mantan CEO 23andMe, mengakusisi aset-aset 23andMe senilai sebesar 305 juta dolar.