أفاد تحقيق مشترك بين مكتب مفوض الخصوصية في كندا (OPC) ونظيره البريطاني (ICO) أن شركة 23andMe الأميركية لتحليل الحمض النووي أخفقت في اتخاذ تدابير كافية لحماية بيانات مستخدميها الشخصية، ما أدى إلى خرق أمني واسع النطاق العام الماضي.

وأوضح التقرير الصادر يوم الاثنين أن البيانات المتأثرة شملت معلومات حساسة مثل الأصل العرقي، ومعلومات صحية، وروابط جينية، مؤكداً أن الشركة لم تعتمد إجراءات كافية لتقليل مخاطر الدخول غير المصرّح به، ولم تخطر العملاء بالقدر الكافي بعد وقوع الهجوم.

هجوم سيبراني واعتماد مفرط على كلمات المرور

تعرضت 23andMe لهجوم إلكتروني في عام 2023، استُخدمت خلاله بيانات اعتماد مقرصنة من خدمات أخرى للدخول إلى حسابات المستخدمين. وأشار التحقيق إلى أن الشركة اعتمدت بشكل مفرط على كلمات المرور كوسيلة وحيدة للحماية، دون اعتماد بروتوكولات إضافية مثل المصادقة الثنائية (2FA).

انتهاك لمعايير الخصوصية

أكّد مفوض الخصوصية الكندي فيليب ليثرستون أن “البيانات البيولوجية والجينية هي من أكثر أنواع البيانات حساسية”، وأن فشل الشركة في تأمينها “يمثل خرقًا خطيرًا لثقة العملاء ولقوانين حماية الخصوصية”.

بدوره، صرّح مفوض المعلومات البريطاني جون إدواردز أن الشركات التي تجمع معلومات وراثية “تتحمل مسؤولية خاصة” لضمان أمن تلك البيانات، مضيفًا أن ما حصل “قد تكون له تداعيات عميقة على المستخدمين وأسرهم”.

إجراءات مرتقبة

أمهلت السلطات الشركة مدة زمنية محددة لتقديم خطة مفصّلة لمعالجة أوجه القصور، محذّرة من فرض غرامات محتملة وعقوبات قانونية إذا لم يتم الالتزام بالمعايير المطلوبة.

وتعد هذه الحادثة من أكبر خروقات الخصوصية في مجال البيانات الجينية حتى الآن، وتسلّط الضوء على التحديات القانونية والأخلاقية التي تواجه شركات التكنولوجيا الحيوية حول العالم.