California kiện 23andMe liên quan đến vụ rò rỉ dữ liệu năm 2023 ảnh hưởng đến 7 triệu người dùng.

Tin tức California kiện 23andMe về vụ rò rỉ dữ liệu năm 2023 ảnh hưởng đến 7 triệu người dùng Ông Rob Bonta cáo buộc công ty, hiện có tên là Chrome Holding Co., đã không bảo vệ thông tin nhạy cảm của người dùng. Bởi Mariella Moon Ngày 29/5/2026 3:59 sáng EST bluestork/Shutterstock Chrome Holding Co., công ty trước đây được biết đến với tên 23andMe, đang phải đối mặt với vụ kiện do Tổng chưởng lý California Rob Bonta đệ trình liên quan đến một vụ vi phạm an ninh lớn vào năm 2023 đã làm lộ dữ liệu nhạy cảm của hàng triệu người. Ông Bonta cáo buộc công ty đã lừa dối khách hàng và không bảo vệ "thông tin cá nhân nhạy cảm và dữ liệu di truyền liên quan đến sức khỏe, khuynh hướng và yếu tố rủi ro di truyền, người thân ruột thịt, tổ tiên và sắc tộc" của họ. Vụ việc đã ảnh hưởng đến 7 triệu người dùng trên khắp Hoa Kỳ, trong đó có 855.541 cư dân California, theo đơn kiện. 23andMe, công ty cung cấp bộ xét nghiệm DNA cho khách hàng để họ có thể tìm hiểu nguồn gốc tổ tiên và rủi ro sức khỏe di truyền của mình, đã thừa nhận vào năm 2023 rằng các đối tượng xấu đã có thể truy cập tài khoản người dùng thông qua tấn công nhồi thông tin đăng nhập (credential stuffing). Ông Bonta lập luận rằng các công ty, đặc biệt là những công ty thu thập dữ liệu di truyền, phải biết cách phòng ngừa một phương pháp tấn công mạng phổ biến như vậy. Trong trường hợp của 23andMe, tin tặc dường như đã sử dụng thông tin đăng nhập bị đánh cắp trong các vụ rò rỉ dữ liệu trước đó, bao gồm cả từ một cuộc tấn công vào MyHeritage, một trang web phả hệ khác mà 23andMe đã hợp tác. Ông Bonta cho biết mặc dù 23andMe biết về vụ vi phạm trên MyHeritage, nhưng công ty này chưa bao giờ kiểm tra hoặc ngăn chặn người dùng tái sử dụng thông tin đăng nhập của họ. Điều này đặc biệt đáng chú ý, vì 23andMe được cho là đã khuyến khích người dùng của mình đăng ký tài khoản MyHeritage. Không chỉ tấn công nhồi thông tin đăng nhập đã cho phép các đối tượng xấu đánh cắp hàng triệu thông tin cá nhân. Sau khi sử dụng phương pháp tấn công này để xâm nhập vào 14.000 tài khoản, chúng sau đó đã khai thác một lỗ hổng trong tính năng DNA Relatives của trang web để truy cập dữ liệu từ nhiều khách hàng hơn. Ông Bonta cho biết các biện pháp bảo mật của công ty lỏng lẻo đến mức tin tặc đã có thể hoạt động không bị phát hiện trong hệ thống của họ trong năm tháng. Ông nói thêm rằng công ty chỉ bắt đầu điều tra sau khi các đối tượng xấu đã bắt đầu bán dữ liệu người dùng bị đánh cắp trên dark web và đòi tiền chuộc. Ông Bonta cáo buộc 23andMe đã bỏ qua thông tin quan trọng khi thông báo cho khách hàng về vụ vi phạm. Ông cho biết công ty đã hạ thấp mức độ nhạy cảm của dữ liệu bị đánh cắp và tuyên bố rằng tính năng DNA Relatives "về cơ bản là công khai", trong khi bí mật đàm phán với các đối tượng xấu đang nhấn mạnh việc bao gồm thông tin về người Mỹ gốc Á và người dân Đảo Thái Bình Dương, cũng như người dùng Do Thái, trong bộ dữ liệu mà họ đang bán. "Việc bán dữ liệu này trên dark web diễn ra trong bối cảnh gia tăng các hành vi thù ghét và bạo lực chống người Mỹ gốc Á và người dân Đảo Thái Bình Dương cũng như chống Do Thái – và đã công khai thu hút sự chú ý đến tính chất cá nhân sâu sắc và nhận dạng của thông tin đó", ông Bonta viết. "Điều này đáng lo ngại và vô cùng nguy hiểm." 23andMe đã nộp đơn xin phá sản vào tháng 3/2025. Như AP lưu ý, công ty này cũng phải đối mặt với một vụ kiện tập thể cáo buộc công ty đã không bảo vệ khách hàng của mình, và một thẩm phán giám sát vụ phá sản của công ty đã phê duyệt khoản dàn xếp 50 triệu USD vào đầu năm nay.