ดีเอ็นเอรั่ว บริษัทเทคโนโลยีชีวภาพ ถูกปรับ 100 ล้านบาท หลังทำข้อมูลพันธุกรรมหลุดครั้งใหญ่

สำนักงานคณะกรรมการข้อมูลข่าวสารของสหราชอาณาจักร (UK ICO) สั่งปรับบริษัทเทคโนโลยีชีวภาพชื่อดังระดับโลก 23andMe เป็นเงินจำนวน 2.31 ล้านปอนด์ หรือคิดเป็นเงินไทยกว่า 101 ล้านบาท จากกรณีที่ระบบของบริษัทถูกแฮ็กและปล่อยให้ข้อมูลส่วนตัวของลูกค้าหลานล้านคนรั่วไหลสู่สาธารณะในช่วงปี 2023

เหตุการณ์ครั้งนี้เริ่มขึ้นตั้งแต่เดือนเมษายน 2023 เมื่อกลุ่มแฮกเกอร์เริ่มโจมตีโดยใช้เทคนิคที่เรียกว่า Credential Stuffing หรือการนำอีเมลและรหัสผ่านที่รั่วไหลมาจากบริการอื่น ๆ มาทดลองล็อกอินเข้าสู่ระบบของ 23andMe ปรากฏว่า สามารถล็อกอินเข้าสู่บัญชีของผู้ใช้งานจำนวนมากได้สำเร็จ เนื่องจากผู้ใช้บางรายใช้รหัสผ่านซ้ำ และที่ร้ายแรงที่สุดคือบริษัทไม่ได้บังคับใช้ระบบยืนยันตัวตนแบบหลายชั้น (Multi-Factor Authentication – MFA) ซึ่งถือเป็นมาตรฐานพื้นฐานของการรักษาความปลอดภัยยุคใหม่

ข้อมูลที่หลุดออกไปไม่ได้เป็นแค่ชื่อ เบอร์โทรศัพท์ หรืออีเมลเท่านั้น แต่ยังรวมถึงข้อมูลชีวภาพอย่างผลการวิเคราะห์พันธุกรรม (genotype), ข้อมูลสุขภาพ, เชื้อชาติ, รูปโปรไฟล์, รายชื่อญาติใน Family Tree รวมถึงการเชื่อมโยงเครือญาติแบบละเอียด ซึ่งข้อมูลเหล่านี้ถือเป็น “ข้อมูลชีวภาพถาวร” ที่ไม่สามารถเปลี่ยนแปลงหรือทำให้ลืมได้เหมือนกับรหัสผ่าน เมื่อรั่วไหลแล้วก็อาจถูกนำไปใช้เพื่อจุดประสงค์ต่าง ๆ เช่น การเลือกปฏิบัติ การประกันสุขภาพ หรือแม้แต่การระบุตัวบุคคลย้อนกลับ

ข้อมูลที่รั่วไหลยังปรากฏใน เว็บไซต์ Reddit และฟอรั่ม BreachForums ซึ่งเป็นแหล่งรวมข้อมูลที่แฮ็กเกอร์มักใช้แลกเปลี่ยนข้อมูลที่ได้จากการโจมตี โดยมีการยืนยันว่า มีข้อมูลของผู้ใช้งานรวมกันกว่า 4.1 ล้านรายจากสหราชอาณาจักรและเยอรมนี รวมถึงข้อมูลของชาวยิวสาย Ashkenazi กว่า 1 ล้านราย ซึ่งถือว่าเป็นกลุ่มเปราะบางในแง่ความปลอดภัยและสิทธิมนุษยชน

ที่น่าตกใจคือ แม้การโจมตีจะเริ่มต้นตั้งแต่เดือนเมษายน แต่บริษัทกลับไม่สามารถตรวจพบความผิดปกติได้ทันที และไม่ได้เปิดเผยเหตุการณ์ต่อสาธารณะอย่างจริงจัง จนกระทั่งมีผู้พบเห็นข้อมูลของผู้ใช้งานถูกนำไปขาย

นอกจากค่าปรับจากทางการแล้ว 23andMe ยังเผชิญ คดีฟ้องร้องแบบกลุ่ม (Class Action) หลายคดีในสหรัฐฯ จนนำไปสู่การแก้ไข ข้อตกลงการใช้งาน (Terms of Use) ในเดือนพฤศจิกายน 2023 โดยมีเป้าหมายเพื่อลดความเสี่ยงการถูกฟ้องร้อง อย่างไรก็ตาม บริษัทระบุว่าการเปลี่ยนแปลงดังกล่าวมีจุดประสงค์เพื่อ “ปรับปรุงกระบวนการอนุญาโตตุลาการ” ให้มีความชัดเจนมากขึ้น

ในเดือนกันยายน 2024 บริษัทได้ยอมความในหนึ่งในคดีฟ้องร้อง โดยตกลง จ่ายเงินชดเชยกว่า 30 ล้านดอลลาร์สหรัฐ (ประมาณ 1,080 ล้านบาท) เพื่อยุติคดีที่เกี่ยวข้องกับการรั่วไหลของข้อมูลลูกค้ากว่า 6.4 ล้านรายทั่วโลก

เหตุการณ์นี้เกิดขึ้นในช่วงที่ 23andMe กำลังเผชิญภาวะการเงินตึงตัว และเพียงไม่กี่เดือนให้หลัง บริษัทได้ยื่นขอล้มละลายภายใต้ในสหรัฐฯ และประกาศแผน ขายทรัพย์สินของบริษัท เพื่อลดภาระหนี้สิน

ที่มา