事件概述

2025年6月5日，英国信息专员办公室(ICO)对23andMe处以231万英镑（约310万美元）罚款。该处罚源于该公司未能保护超过15.5万英国用户的个人数据安全。此次调查由ICO与加拿大隐私专员办公室联合开展，体现了监管机构在数据保护执法中日益加强的协作。

ICO处罚通知原文链接

关于23andMe

23andMe是一家美国个人基因组学和生物技术公司，提供直接面向消费者的基因检测服务。用户通过提交唾液样本获取 ancestry、健康风险和遗传特征分析，并可下载原始基因数据。该公司目前正处于破产重组阶段。

攻击事件详情

2023年4月至9月期间，攻击者通过凭证填充攻击（使用其他数据泄露事件中窃取的凭证）入侵了大量用户账户。23andMe在8月通过客户门户和暗网市场Hydra获知此事，但最初误认为是恶作剧而关闭了内部调查工单。

10月，约1400万用户的敏感数据在多个论坛出售，包括：

• 健康信息
• 原始基因数据
• 种族/民族背景

ICO认定的安全缺陷

1. 缺乏多因素认证(MFA)
2. 原始基因数据下载控制不足
3. 事件监控与响应系统薄弱
4. 强制使用邮箱作为用户名
5. 弱密码策略（未过滤常见词和已知泄露凭证）
6. 缺少设备指纹识别技术
7. 下载原始数据前无额外验证步骤

关键教训

• 监管机构明确要求在线服务必须部署防凭证填充攻击措施
• 数据泄露通知必须符合GDPR第34(2)条要求（需包含泄露时段、数据类型和潜在影响）
• 调查期间与监管机构的合作缺失可能导致处罚加重

企业应对建议

• 聘请外部法律顾问和取证专家
• 建立结构化监管响应策略
• 对敏感数据实施分层保护机制