कैलिफ़ोर्निया के अटॉर्नी जनरल ने गुरुवार को आनुवंशिक परीक्षण कंपनी, जिसे पहले 23andMe के नाम से जाना जाता था, पर मुकदमा दायर किया और आरोप लगाया कि यह 2023 के उल्लंघन में संवेदनशील उपयोगकर्ता डेटा की रक्षा करने में विफल रही, जिसने देश भर में लगभग 7 मिलियन लोगों को प्रभावित किया।

अटॉर्नी जनरल रॉब बोंटा ने क्रोम होल्डिंग कंपनी के खिलाफ मुकदमा दायर किया, जिसे 23andMe ने पिछले मार्च में दिवालियापन के लिए दायर करने के बाद पुनः ब्रांड किया था। 23andme अपने प्रत्यक्ष-से-उपभोक्ता डीएनए परीक्षण किट के लिए जाना जाता है जो ग्राहकों को उनकी वंशावली और कुछ स्वास्थ्य स्थितियों के लिए आनुवंशिक प्रवृत्तियों के बारे में जानकारी प्रदान करता है।

यह भी पढ़ें: ताइवान के लाई का कहना है कि वह ट्रंप को बताएंगे कि उन्हें उम्मीद है कि अमेरिका हथियारों की खरीद जारी रखेगा

मुकदमा 23andMe के खिलाफ विभिन्न नागरिक दंड और कंपनी को कैलिफोर्निया के गोपनीयता संरक्षण कानूनों का उल्लंघन करने से रोकने के लिए निषेधाज्ञा की मांग करता है।

कंपनी ने स्वीकार किया है कि उसे 2023 में एक बड़े सुरक्षा उल्लंघन का सामना करना पड़ा, जिसके परिणामस्वरूप लगभग 14,000 खातों तक पहुंच हो गई, जिसके माध्यम से वह लगभग 7 मिलियन ग्राहकों का डेटा चुराने में सक्षम थी। साइबर हमले में “क्रेडेंशियल स्टफिंग” का उपयोग किया गया, जो ग्राहकों की कमजोर या सामान्य पासवर्ड का उपयोग करने या कई खातों के बीच पासवर्ड का पुन: उपयोग करने की प्रवृत्ति का लाभ उठाता है।

यह भी पढ़ें: क्षेत्रीय साझेदारों के रूप में एक साथ विकसित होने के लिए अंडमान की विशाल क्षमता को उजागर करने की आवश्यकता: थाईलैंड के राजदूत

बोंटा के कार्यालय ने कहा कि यह एक ज्ञात हमला था जिससे व्यवसायों को बचना चाहिए। हमलावरों ने चुराए गए उपयोगकर्ता खाता क्रेडेंशियल्स का उपयोग किया, जिसमें अक्टूबर 2017 में एक प्रमुख डेटा उल्लंघन भी शामिल था, जिसने MyHeritage को प्रभावित किया, जो 23andMe के पूर्व भागीदारों में से एक था। उस उल्लंघन के बाद, 23andMe ने सामान्य प्रोटोकॉल नहीं अपनाए जैसे कि ग्राहकों से उनके पासवर्ड रीसेट करने या मल्टीफैक्टर प्रमाणीकरण का उपयोग करने के लिए कहना।

23andMe ने टिप्पणी के लिए ईमेल किए गए अनुरोध का तुरंत जवाब नहीं दिया।

यह भी पढ़ें: एंथ्रोपिक ब्लैकलिस्ट: ट्रम्प प्रशासन का चौंकाने वाला कदम, पेंटागन के फैसले को बताया पूरी तरह ‘कानूनी’

शिकायतकर्ता ने शिकायत में कहा, “23andMe के सुरक्षा उपाय इतने ढीले थे कि धमकी देने वाला अभिनेता 23andMe के सिस्टम के भीतर पांच महीने से अधिक समय तक काम करने में सक्षम था, और उल्लेखनीय रूप से, 23andMe ने केवल तभी जांच शुरू की जब धमकी देने वाले ने चुराए गए उपयोगकर्ता डेटा को डार्क वेब पर बेचने की पेशकश की और 23andMe तक पहुंच बनाई।”

अक्टूबर 2023 में, चुराया गया डेटा डार्क वेब पर बिक्री के लिए दिखाई दिया, पोस्टर में विशेष रूप से बताया गया कि लगभग 1.1 मिलियन उपयोगकर्ताओं का डेटा एशियाई-प्रशांत द्वीपवासी और एशकेनाज़ी यहूदी उपयोगकर्ताओं का था।

यह भी पढ़ें: ‘सैन्य उद्यम दीर्घकालिक गिरावट लाते हैं’: बीजिंग ईरान संकट को कैसे देखता है

बोंटा ने एक प्रेस विज्ञप्ति में कहा, “डार्क वेब पर इस डेटा की बिक्री एशियाई अमेरिकी और प्रशांत द्वीपसमूह विरोधी और यहूदी विरोधी घृणा और हिंसा के बढ़ते समय के दौरान हुई है।” “यह परेशान करने वाला और अविश्वसनीय रूप से खतरनाक है।”

चुराए गए कुछ डेटा में कच्चा आनुवंशिक डेटा, स्वास्थ्य रिपोर्ट, अन्य रिश्तेदारों के साथ साझा किया गया डीएनए और रिश्तेदारों के स्थान और जन्म वर्ष शामिल थे।

मुकदमे में कहा गया है कि उल्लंघन के बारे में जनता को सूचित करने के बाद, 23andMe ने उल्लंघन की गंभीरता और इसमें कंपनी की भूमिका के बारे में उपयोगकर्ताओं को गुमराह करना जारी रखा।

कंपनी ने कहा है कि उसे इस उल्लंघन के बारे में अक्टूबर 2023 में पता चला जब चुराए गए डेटा को डार्क वेब पर बिक्री के लिए पोस्ट किया गया था। हालाँकि, मुकदमे में कहा गया है कि कंपनी महीनों पहले सामने आए लाल झंडों की जांच करने में विफल रही, जैसे कि जुलाई में “उपयोगकर्ता लॉगिन प्रयासों में संदिग्ध वृद्धि” और अगस्त में उपयोगकर्ता डेटा के संभावित उल्लंघन और बिक्री पर चर्चा करने वाला एक Reddit पोस्ट।

मुकदमे में कहा गया है कि आनुवंशिक डेटा को “सुरक्षा के उच्चतम स्तरों में से एक” की आवश्यकता होती है और कैलिफ़ोर्निया कानून इसकी सुरक्षा के लिए “एक ऊंचे कानूनी दायित्व को अनिवार्य करता है”।

बोंटा ने यह सुनिश्चित करने के लिए भी हस्तक्षेप किया कि 23andMe के अध्याय 11 दिवालियापन और संपत्ति की बिक्री के दौरान ग्राहकों के आनुवंशिक डेटा का दुरुपयोग नहीं किया जाएगा, यह तर्क देते हुए कि कैलिफ़ोर्निया के आनुवंशिक सूचना गोपनीयता अधिनियम के लिए कंपनियों को अपनी आनुवंशिक जानकारी तीसरे पक्ष को बेचने से पहले ग्राहकों से ऑप्ट-इन सहमति प्राप्त करने की आवश्यकता होती है। हालाँकि, बिक्री को आगे बढ़ने की अनुमति दी गई थी।

2024 में, 23andMe ने एक क्लास-एक्शन मुकदमे में 30 मिलियन डॉलर का भुगतान करने पर सहमति व्यक्त की, जिसमें कंपनी पर उन ग्राहकों की सुरक्षा करने में विफल रहने का आरोप लगाया गया था जिनकी व्यक्तिगत जानकारी उल्लंघन में उजागर हुई थी। अधिकांश अमेरिकी ग्राहकों के दावों को निपटाने के लिए राशि को बढ़ाकर $50 मिलियन कर दिया गया और जनवरी में 23andMe के दिवालियापन की देखरेख करने वाले एक संघीय न्यायाधीश से अंतिम मंजूरी प्राप्त हुई।