AG California cita 23andMe: riscatto e menzogne su 6,9M dati genetici

AG California cita 23andMe: riscatto e menzogne su 6,9M dati genetici

Il Procuratore Generale della California Rob Bonta ha citato in giudizio Chrome Holding Co., ex 23andMe, il 28 maggio 2026. L'accusa è di gravi carenze di sicurezza che hanno permesso un credential-stuffing attack nel 2023, esponendo dati genetici e sanitari di circa 6,9 milioni di persone, e di dichiarazioni pubbliche fuorvianti emesse mentre l'azienda pagava un riscatto all'attaccante. La causa apre un precedente critico per il settore health-tech: per la prima volta un AG statale cita un'azienda di test genetici per violazione specifica della Genetic Information Privacy Act californiana.

L'anatomia del credential stuffing: da 14.000 account a 6,9 milioni di record

L'attacco è cominciato con credential stuffing, tecnica che sfrutta credenziali rubate in precedenti breach di terzi. Secondo il comunicato dell'AG della California, gli attaccanti hanno utilizzato password trafugate nel breach di MyHeritage del 2017, un servizio che 23andMe stessa aveva incoraggiato i propri utenti a utilizzare. Nonostante questo, l'azienda non ha imposto reset password o autenticazione a più fattori dopo quel breach noto.

I circa 14.000 account compromessi direttamente non rappresentavano però il perimetro finale dell'esposizione. Gli attaccanti hanno sfruttato una vulnerabilità legata a un "critical coding error" nella funzione "DNA Relatives" dell'applicazione, che permetteva query manipolate al database. Questo meccanismo ha amplificato l'impatto da migliaia di account compromessi a circa 6,9 milioni di record, inclusi 855.541 residenti in California. Il dossier non specifica la tipologia tecnica precisa della vulnerabilità: non emerge alcun CVE o advisory strutturato nella documentazione esaminata.

"23andMe collected genetic data about millions of people, failed to meet its obligation under California law to keep that information safe, and then lied to consumers about the severity of its 2023 data breach." — California Attorney General Rob Bonta

Cinque mesi di invisibilità e red flag ignorate

La timeline rivela una latenza di sicurezza sistemica. Il threat actor ha operato indetecto nei sistemi 23andMe per oltre 5 mesi. Durante questo periodo, sono stati registrati segnali d'allarme non investigati: uno spike di login sospetti a luglio 2023 e un post su Reddit ad agosto 2023 che discuteva di un possibile breach e della vendita di dati utente.

23andMe ha avviato un'induzione solo quando l'attaccante ha esplicitamente offerto i dati rubati in vendita sul dark web e ha contattato l'azienda per richiedere un riscatto. I dati in vendita erano pubblicizzati come appartenenti a utenti Asian American Pacific Islander (AAPI) e ebrei askenaziti, un targeting etnico che ha spinto Bonta a definire l'episodio "disturbing and incredibly dangerous" in un contesto di crescente violenza antisemita e anti-AAPI.

Il doppio gioco: riscatto e comunicazione fuorviante

Il nucleo della strategia accusatoria dell'AG non è tecnico ma comportamentale. Il comunicato ufficiale documenta che 23andMe ha "simultaneously negotiating and paying a ransom to the threat actor... while 23andMe assured the public that it had not experienced a data security incident". Questa simultaneità costituisce l'elemento di aggravio legale più rilevante: la combinazione di pagamento clandestino e negazione pubblica è interpretata come violazione della False Advertising Law e dell'Unfair Competition Law, oltre che come aggravamento della violazione della Reasonable Data Security Law.

Le dichiarazioni pubbliche dell'azienda, secondo l'accusa, non solo minimizzavano l'incidente ma addossavano esplicitamente la colpa agli utenti, citando password deboli o riutilizzate. Questa tesi difensiva è smentita dall'AG con l'argomento che l'assenza di MFA obbligatoria, rate limiting efficace e anomaly detection costituiva già per sé una failure "unreasonable" sotto la legge californiana, indipendentemente dal comportamento degli utenti.

Perché è importante

Il brief non documenta misure correttive specifiche imposte o raccomandate dalla fonte primaria. Il comunicato AG si limita a descrivere le carenze riscontrate: assenza di MFA obbligatoria, mancanza di rate limiting efficace, failure di anomaly detection, e il "coding error" in DNA Relatives. Non emerge alcuna indicazione operativa dettagliata su come l'azienda avrebbe dovuto implementare questi controlli.

La fonte non specifica se la causa AG influenzerà il settlement class action di $50 milioni già approvato nel gennaio 2026, né dettaglia l'esito della procedura di vendita asset in bancarotta avviata nel 2024. I due procedimenti — la causa penale-regolatoria dell'AG e il Chapter 11 — rimangono separati. L'identità del threat actor e l'importo esatto del riscatto pagato non sono riportati nelle fonti disponibili.

Il valore del caso risiede nel precedente normativo. Per la prima volta un procuratore statale applica la Genetic Information Privacy Act a un data breach di tipo credential stuffing, stabilendo che questa tipologia di attacco non costituisce "incidente accettabile" ma failure di sicurezza sanzionabile. La stessa logica — che dati special category richiedono standard di protezione più stringenti anche contro minacce "banali" come il riutilizzo password — ha già prodotto la multa di £2,31 milioni dell'ICO UK per 155.592 residenti britannici coinvolti nello stesso breach.

Il contesto: bancarotta, class action e frammentazione della responsabilità

23andMe ha dichiarato bancarotta nel 2024. Nel 2024-2026 l'azienda ha negoziato un settlement class action passato da $30 milioni a $50 milioni, approvato a gennaio 2026. La causa dell'AG Bonta si sovrappone temporalmente a questa procedura ma ne rimane formalmente distinta, sollevando questioni pratiche sulla riscossione di eventuali sanzioni contro un'entità in liquidazione.

Il dato più rilevante per il settore è la frammentazione giurisdizionale della responsabilità: stesso breach, tre enforcement paralleli (class action USA, AG California, ICO UK) con logiche sanzionatorie diverse. Per le aziende health-tech e biotech, questo pattern indica che il diritto alla portabilità e riutilizzo dei dati genetici — tipico del modello di business DTC — si scontra con un regime di accountability sempre più stratificato.

L'angolo di lettura suggerito dal brief — il dualismo tra crisis management e transparency obbligatoria per dati genetici — trova nel pagamento del riscatto il suo fulcro narrativo. Non è la compromissione tecnica a determinare la gravità legale, ma la scelta comunicativa che l'ha accompagnata. In un settore dove la fiducia è il bene più volatile, l'AG della California ha deciso che il riscatto nascosto costituisce violazione autonoma, non solo aggravamento morale.

Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti

• https://www.bleepingcomputer.com/news/security/california-ag-sues-23andme-over-2023-breach-exposing-health-data/
• https://www.securityweek.com/california-sues-23andme-alleging-it-failed-to-protect-user-data-in-2023-breach/
• https://therecord.media/cruise-giant-carnival-confirms-data-breach-affecting-6-million
• https://oag.ca.gov/news/press-releases/attorney-general-bonta-sues-chrome-holding-co-formerly-known-23andme-over-2023
• https://www.bbc.com/news/articles/crepleq2zyvo
• https://www.bleepingcomputer.com/
• https://www.bleepingcomputer.com/tutorials/
• https://www.bleepingcomputer.com/download/
• https://www.bleepingcomputer.com/vpn/