23andMe ujawniono naruszenie danych w październiku ubiegłego roku, ale nie potwierdziło ogólnego wpływu aż do grudnia. Klienci korzystający z funkcji DNA Relatives mogli mieć informacje takie jak imiona, lata urodzenia i informacje o przodkach ujawnione w wyniku naruszenia. W tym czasie 23andMe przypisało włamanie do credential stuffing, taktyki polegającej na logowaniu się do kont przy użyciu zrecyklingowanych loginów ujawnionych w poprzednich naruszeniach bezpieczeństwa.
Wyłom ten był dla nas dużym ciosem już borykająca się z problemami firma. W miarę jak cena akcji 23andMe nadal spadała, dyrektor generalna 23andMe Anna Wojcicki próbował sprywatyzować firmę wcześniej w tym roku, ale specjalna komisja odrzuciła ofertę w zeszłym miesiącu. W ugodzie wspomniano o obawach dotyczących finansów firmy, stwierdzając, że „każdy wyrok sądowy znacznie przekraczający Ugodę prawdopodobnie będzie nieściągalny”. W oświadczeniu dla SkrajRzeczniczka 23andMe, Katie Watson, powiedziała, że firma spodziewa się, że ubezpieczenie od cyberzagrożeń pokryje 25 milionów dolarów z ugody:
Zawarliśmy ugodę na łączną kwotę 30 milionów dolarów w gotówce, aby uregulować wszystkie roszczenia USA dotyczące incydentu bezpieczeństwa związanego z wypychaniem poświadczeń w 2023 r. Pełnomocnicy powoda złożyli wniosek o wstępną akceptację tej ugody w sądzie. Oczekuje się, że około 25 milionów dolarów z ugody i powiązanych kosztów prawnych zostanie pokryte z cyberubezpieczenia. Nadal uważamy, że ta ugoda leży w najlepszym interesie klientów 23andMe i nie możemy się doczekać sfinalizowania umowy.
Proponowana ugoda musi jeszcze uzyskać akceptację sędziego.