A empresa de testes genéticos 23andMe, enfrentando mais de 30 processos judiciais devido a uma grande violação de dados, está agora transferindo a culpa para as próprias vítimas. Conforme uma carta enviada a um grupo de vítimas e vista pela TechCrunch, a empresa tenta se isentar de qualquer responsabilidade.
Segundo Hassan Zavareei, um dos advogados representando as vítimas que receberam a carta da 23andMe, a empresa está deixando seus clientes à mercê da situação, minimizando a gravidade dos eventos. Em dezembro, a 23andMe admitiu que hackers roubaram dados genéticos e de ancestralidade de 6,9 milhões de usuários, quase metade de todos os seus clientes.
O ataque começou com o acesso a cerca de 14 mil contas de usuários, utilizando uma técnica conhecida como ‘credential stuffing’, onde hackers usam senhas já conhecidas associadas aos clientes visados. A partir dessas 14 mil vítimas iniciais, os hackers conseguiram acessar os dados pessoais de outros 6,9 milhões de usuários que optaram pela função “DNA Relatives” da 23andMe. Esta funcionalidade permite que clientes compartilhem automaticamente parte de seus dados com pessoas consideradas parentes na plataforma.
Na carta enviada a centenas de usuários da 23andMe que agora processam a empresa, a 23andMe afirmou que “os usuários reciclaram negligentemente e falharam em atualizar suas senhas após esses incidentes de segurança passados, que não estão relacionados à 23andMe.”
Zavareei criticou a atitude da 23andMe, chamando-a de tentativa descarada de culpar as vítimas do vazamento de dados. Ele argumenta que a empresa deveria ter implementado salvaguardas contra o credential stuffing, especialmente considerando que armazena informações pessoais, de saúde e genéticas em sua plataforma.
Dante Termohs, um cliente da 23andMe afetado pelo vazamento de dados, expressou sua indignação com a tentativa da empresa de fugir das consequências, em vez de ajudar seus clientes.
Os advogados da 23andMe argumentaram que os dados roubados não podem ser usados para causar danos monetários às vítimas. Após divulgar o vazamento, a 23andMe redefiniu todas as senhas dos clientes e passou a exigir autenticação de múltiplos fatores, que antes era opcional.
Na tentativa de prevenir ações coletivas e reivindicações de arbitragem em massa, a 23andMe alterou seus termos de serviço, tornando mais difícil para as vítimas se unirem em ações legais contra a empresa. Advogados com experiência em representar vítimas de violação de dados classificaram as mudanças como cínicas e auto-serviçadas, e uma tentativa desesperada de se proteger e desencorajar clientes de processar a empresa.
Este caso destaca um dos maiores desafios da era digital: a segurança de dados pessoais e sensíveis em plataformas online.
Fonte: 23andMe tells victims it’s their fault that their data was breached
Este artigo foi criado em colaboração entre Cláudio Cordovil e Chat GPT-4
Imagem gerada por Inteligência Artificial
