基因檢測公司23andMe遭英國監管機構重罰，因數據洩露影響數百萬用戶

2025/06/17 | 科技

英國資訊委員會（ICO）對基因檢測公司23andMe處以231萬英鎊的罰款，原因是該公司在2023年發生的一起數據洩露事件，影響了數千人。ICO表示，該公司在事件發生前未能採取足夠的措施來保護敏感的用戶數據。據了解，此次事件源於一起「撞庫」攻擊，駭客利用先前外洩的密碼，成功登入了約14,000個23andMe帳戶，並下載了與這些帳戶關聯的約690萬人的資料。洩露的數據包含姓名、出生年份、地理位置、個人資料照片、種族、民族、健康報告和家庭樹等個人資料，其中包含155,592名英國居民的個資，但DNA記錄並未洩露。ICO指出，基因數據屬於特殊類別，需要額外的保護措施。調查發現，23andMe在登錄過程中，未對客戶採取適當的身份驗證措施，例如強制性的多因素驗證，也未對試圖下載原始基因數據的用戶採取更嚴格的驗證要求。目前，23andMe 正準備出售給 TTAM 研究機構，該機構承諾將加強客戶數據和隱私保護。該公司表示已於2024年底解決了 ICO 和加拿大隱私專員公署（OPC）調查中發現的問題。