Kebocoran Data Genetik: Jaksa Agung California Gugat 23andMe atas Kelalaian Keamanan Siber

Jaksa Agung California, Rob Bonta, resmi melayangkan gugatan hukum terhadap perusahaan tes genetik terkemuka 23andMe (yang kini telah berganti nama menjadi Chrome Holding Co.). Gugatan ini dipicu oleh kegagalan fatal perusahaan dalam melindungi data pribadi sensitif serta data medis/genetik milik jutaan pelanggannya.

Kelalaian sistem keamanan siber ini berujung pada insiden kebocoran data (data breach) berskala masif pada tahun 2023 silam, yang mengeksfiltrasi informasi pribadi dari hampir 7 juta konsumen global, termasuk di antaranya 855.541 warga negara bagian California.

Kronologi Kasus: Serangan Credential Stuffing dan Kebocoran DNA Relatives

Kasus ini pertama kali mencuat ke publik pada Oktober 2023 setelah sekelompok peretas menawarkan basis data rahasia milik 23andMe di forum kegelapan (dark web), lengkap dengan sampel data medis untuk membuktikan keaslian informasinya.

• Modus Operandi Peretas: 23andMe mengonfirmasi bahwa data tersebut asli dan mengklaim insiden dipicu oleh serangan credential-stuffing—sebuah metode di mana peretas secara otomatis mencoba kombinasi nama pengguna dan kata sandi yang bocor dari situs lain pada akun pengguna 23andMe yang tidak mengaktifkan otentikasi dua faktor (2FA).
• Celah Fitur ‘DNA Relatives’: Awalnya peretas hanya membobol akun perorangan. Namun, akibat kesalahan logika pengodean (coding error) pada fitur DNA Relatives (fitur untuk mencari kecocokan kerabat berdasarkan silsilah DNA), peretas berhasil melompat dan menyedot data dari jaringan akun sekunder yang jauh lebih besar.
• Data Sensitif yang Bocor: Secara total, insiden ini mengekspos data mentah dari 6,9 juta pelanggan. Data yang bocor meliputi identitas silsilah keluarga, informasi kecocokan DNA, garis keturunan etnis, serta informasi predisposisi kesehatan (health predisposition information) atau risiko penyakit bawaan berbasis genetika dari para korban.

Menyalahkan Konsumen hingga Berujung Kebangkrutan

Pasca-insiden tersebut, 23andMe langsung dihujani berbagai gugatan kelompok (class-action lawsuits) pada akhir 2023. Memasuki awal 2024, badan perlindungan data nasional dari berbagai negara meluncurkan investigasi resmi yang menjatuhkan denda bernilai jutaan dolar AS, hingga memaksa perusahaan tersebut mengajukan permohonan pailit/bangkrutan (filed for bankruptcy).

Dalam gugatan terbaru yang dilayangkan Jaksa Agung Rob Bonta, terdapat beberapa poin tuntutan krusial yang memberatkan posisi 23andMe:

1. Kelalaian Perlindungan Standar: Perusahaan dinilai gagal menerapkan benteng pertahanan yang wajar untuk menghalau serangan credential-stuffing, serta melewatkan banyak indikator deteksi dini saat intrusi peretas sedang berlangsung di sistem mereka.
2. Pernyataan Publik yang Menyesatkan: Sebelum insiden terjadi, perusahaan berulang kali mengeklaim bahwa sistem keamanan mereka telah memenuhi standar industri tertinggi.
3. Mengambinghitamkan Korban: Pasca-kebocoran data terjadi, pihak manajemen 23andMe terkesan meremehkan dampak kerusakan dengan menyebut bahwa data yang bocor sebagian besar bersifat publik. Mereka juga menyalahkan perilaku konsumen yang menggunakan ulang kata sandi lama (password reuse) dan berkilah bahwa infrastruktur server utama mereka tidak berhasil ditembus peretas.

Tuntutan Pelanggaran Hukum Berlapis

Pemerintah California menegaskan bahwa tindakan dan respons reaktif dari 23andMe telah melanggar sejumlah regulasi ketat perlindungan privasi tingkat negara bagian, meliputi:

• California Genetic Information Privacy Act (Undang-Undang Privasi Informasi Genetik California).
• California Reasonable Data Security Law (Undang-Undang Keamanan Data California).
• California Consumer Privacy Act / CCPA (Undang-Undang Privasi Konsumen California).
• False Advertising Law & Unfair Competition Law (Undang-Undang Periklanan Palsu dan Persaingan Tidak Sehat).

Melalui gugatan perdata ini, Jaksa Agung Rob Bonta menuntut perintah pengadilan (injunction) guna mencegah pelanggaran privasi lebih lanjut, serta menuntut pengenaan denda pidana statuter sebesar $1.000 hingga $7,500 untuk setiap bentuk pelanggaran per kepala konsumen.

Pihak Kejaksaan Agung menambahkan bahwa proses hukum ini berjalan terpisah dari persidangan sengketa kebangkrutan perusahaan yang saat ini tengah bergulir mengenai rencana penjualan aset berupa data genetik dan material biologis milik warga California kepada pihak ketiga.

Sumber: Kantor Jaksa Agung California / DoJ