23andMe Sepakat Bayar 18 Juta Dolar AS dalam Penyelesaian Kasus Kebocoran Data Genetik

Perusahaan pengujian genetik 23andMe, yang kini berada di bawah Chrome Holding Co., menyepakati pembayaran 18 juta dolar AS untuk menyelesaikan klaim dari koalisi 43 jaksa agung negara bagian di Amerika Serikat. Penyelesaian ini terkait kegagalan perusahaan dalam melindungi data genetik pelanggan yang terekspos dalam insiden besar pada 2023.
Kasus tersebut bermula dari serangan credential stuffing yang berlangsung selama beberapa bulan, dari April hingga September 2023. Serangan itu baru diungkap 23andMe pada Oktober 2023 dan berdampak pada sekitar 6,9 juta pengguna, termasuk data yang memuat informasi ancestry genetik.
Sebagian data pelanggan yang dicuri kemudian ditawarkan untuk dijual di dark web. Informasi yang terekspos dinilai sangat sensitif karena berkaitan dengan identitas, profil keluarga, dan data genetik yang sulit atau bahkan tidak mungkin diganti seperti kata sandi biasa.
Investigasi multistate yang dilakukan setelah insiden tersebut menemukan bahwa 23andMe tidak memiliki sejumlah perlindungan dasar untuk menghadapi serangan berbasis kredensial curian. Temuan itu mencakup ketiadaan pemeriksaan password terhadap daftar kredensial yang sudah bocor, tidak diwajibkannya multifactor authentication secara memadai, serta lemahnya rate limiting dan intrusion prevention.
Penyidik juga menyoroti kurangnya logging, monitoring, dan mekanisme deteksi pelanggaran yang seharusnya dapat membantu perusahaan mengenali aktivitas login tidak biasa. Selain itu, 23andMe disebut gagal menangani lonjakan percobaan login serta tidak memperbaiki kerentanan yang telah diketahui.
Jaksa Agung New York Letitia James menyatakan bahwa perusahaan memiliki kewajiban untuk melindungi informasi pribadi pelanggan dari peretas. Dalam kasus ini, 23andMe dinilai menempatkan jutaan pelanggan dalam risiko karena langkah keamanan yang tidak memadai.
Sebagai bagian dari penyelesaian, 23andMe akan membayar lebih dari 705.000 dolar AS kepada New York. Kesepakatan tersebut juga menetapkan persyaratan keamanan baru bagi TTAM Research, entitas nonprofit yang dibentuk oleh pendiri sekaligus mantan CEO 23andMe dan kini telah didaftarkan ulang sebagai 23andMe Research Institute.
Persyaratan baru itu mencakup penerapan analisis risiko yang lebih jelas, pembentukan advisory board untuk keamanan data, serta kewajiban tetap menyediakan hak bagi konsumen untuk menghapus informasi mereka. Langkah ini ditujukan agar data genetik pelanggan tetap memiliki perlindungan lebih kuat setelah perubahan kepemilikan aset.
Latar belakang finansial perusahaan juga menjadi bagian penting dari kasus ini. Pada Maret 2025, 23andMe mengajukan perlindungan kebangkrutan Chapter 11. Setelah itu, koalisi jaksa agung mengajukan klaim terkait insiden keamanan data dan juga menempuh langkah hukum untuk memastikan data genetik pelanggan tetap terlindungi selama proses kebangkrutan.
Sebelumnya, 23andMe juga telah menyetujui pembayaran 30 juta dolar AS untuk menyelesaikan gugatan class action terkait kebocoran data 2023. Di Inggris, regulator perlindungan data menjatuhkan denda 2,31 juta poundsterling atas kegagalan keamanan serius yang berkontribusi terhadap insiden tersebut.
Penyelesaian terbaru ini menegaskan bahwa perusahaan yang mengelola data biologis dan genetik harus memiliki standar keamanan lebih ketat dibanding layanan digital umum. Bagi pengguna, kasus ini juga menjadi pengingat penting untuk menggunakan password unik, mengaktifkan multifactor authentication, dan mempertimbangkan hak penghapusan data pada layanan yang menyimpan informasi sensitif.








