23andMe, 3000만 달러 데이터 침해 소송 합의

23andMe는 2023년에 690만 명의 고객의 개인 정보를 노출한 데이터 침해에 대한 집단 소송을 해결하기 위해 3,000만 달러를 지불하기로 합의했습니다. 샌프란시스코 연방법원에 제기된 이 합의에는 영향을 받은 고객에 대한 현금 지불이 포함되며, 회사는 강화된 보안 조치를 구현해야 합니다. 데이터 침해는 해커가 다른 침해에서 손상된 로그인 자격 증명을 사용하여 23andMe 계정에 액세스한 자격 증명 스터핑 공격으로 인해 발생했습니다.

무단 액세스는 2023년 4월부터 9월까지 지속되었고, 회사는 같은 해 10월에 침해 사실을 공개했습니다. 합의의 일환으로 23andMe는 최종 승인 후 10일 이내에 영향을 받은 고객에게 현금 지불을 제공할 것입니다. 회사는 또한 자격 증명 채우기 공격에 대한 보호, 모든 사용자에 대한 의무적 2단계 인증 및 연간 사이버 보안 감사를 포함하여 보안 프로토콜을 강화할 것입니다.

또한 23andMe는 데이터 침해 사고 대응 계획을 수립하고 유지해야 하며 비활성 또는 비활성화된 계정에 대한 개인 데이터 보관을 중단해야 합니다. 이 합의는 23andMe가 사용자의 개인 정보를 보호하지 못했고 해커가 특별히 그들을 표적으로 삼았으며 그들의 정보가 다크 웹에서 판매되도록 제공되었다고 보고되었다는 사실을 고객에게 알리지 않았다는 주장을 다룹니다.

23andMe, 데이터 침해 소송 합의

회사는 어떠한 잘못도 부인하며 개인 정보를 보호하기 위해 적절한 조치를 취했다고 주장합니다. 이 데이터 침해로 인해 약 550만 명의 고객의 DNA Relatives 프로필 정보와 140만 명의 DNA Relative 참여자의 Family Tree 프로필 정보가 유출되었습니다. 또한 이 침해로 인해 건강 보고서와 원시 유전자형 데이터가 도난당했습니다.

23andMe의 재정 상태는 “매우 불확실하다”고 설명되었으며, 2024 회계연도의 총 수익은 2억 2,000만 달러로 보고되었으며, 이는 전년 대비 27% 감소한 수치입니다. 3,000만 달러의 합의금 중 2,500만 달러는 사이버 보험으로 충당될 것으로 예상됩니다. 제안된 합의금은 아직 판사의 승인을 기다리고 있습니다.

계약의 일환으로 23andMe는 적격자에게 보상에 대해 알리고, 지불을 용이하게 하고, 사용자가 서비스에서 정보를 삭제할 수 있는 링크를 제공하는 전담 웹사이트를 만들 것입니다. 영향을 받는 사용자는 또한 3년 Privacy & Medical Shield + Genetic Monitoring 프로그램에 무료로 등록할 수 있습니다.