Spoločnosť 23andMe, známa svojimi genetickými testami, sa v roku 2025 dostala do vážnych problémov. Po masívnom hackerskom útoku, ktorý zasiahol státisíce používateľov, dostala od britského Úradu pre ochranu údajov pokutu viac ako 2,3 milióna libier. Tento kybernetický incident odhalil vážne nedostatky v ochrane citlivých údajov zákazníkov. Dôsledky sú obrovské. Do obehu sa pravdepodobne dostali zdravotné informácie, etnický pôvod či výsledky genetických testov tisícok ľudí. Prípad 23andMe vyvolal vlnu diskusií o tom, ako sú osobné údaje v digitálnom svete chránené a kde je hranica zodpovednosti medzi technologickými firmami a ich zákazníkmi. V ďalších častiach tohto článku sa pozrieme podrobnejšie na celý incident, reakcie regulačných orgánov, dopad na používateľov a to, čo to všetko znamená pre budúcnosť genetických služieb.
Čo sa stalo: kybernetický útok na 23andMe
Počas októbra 2024 hackeri získali prístup k účtom približne 6,9 milióna používateľov 23andMe. Firma potvrdila, že útočníci využili staré prihlasovacie údaje uniknuté z iných platforiem, čím sa dostali k profilom používateľov 23andMe. Tento typ útoku sa nazýva credential stuffing. Je to technika, keď útočník použije kombináciu e-mailov a hesiel z predchádzajúcich únikov a skúša ich opakovane na iných stránkach.
Najvážnejšie na celej situácii nie je len počet zasiahnutých účtov, ale najmä typ údajov, ktoré sa dostali do rúk útočníkov. Únik zahŕňal mená, dátumy narodenia, genetické charakteristiky, etnický pôvod, aj informácie týkajúce sa genetickej príbuznosti používateľov. Takéto údaje sú mimoriadne citlivé a ich zneužitie môže viesť k diskriminácii, zdravotným podvodom alebo vydieraniu.
Nedostatočná ochrana a reakcia spoločnosti
23andMe chvíľu trvalo, kým priznala rozsah úniku. Najprv zľahčovala situáciu a tvrdila, že nejde o chybu v ich systéme, ale o problém so slabými heslami používateľov. Veľká časť verejnosti aj odborníkov ale nesúhlasila. Kritici poukázali na to, že firma nezaviedla základné bezpečnostné opatrenia ako zautomatizované dvojfaktorové overenie pre všetkých používateľov. A navyše – ak prevádzkujete službu, kde ľudia zdieľajú svoje DNA, očakáva sa, že ochrana takýchto dát bude na najvyššej úrovni.
Reakcia regulačných orgánov a udelenie pokuty
Britský Úrad pre ochranu osobných údajov (Information Commissioner’s Office, ICO) zasiahol razantne. V apríli 2025 spoločnosti 23andMe udelil pokutu vo výške 2,3 milióna libier. Regulačný úrad to zdôvodnil tým, že spoločnosť zlyhala v základnej povinnosti chrániť osobné údaje svojich zákazníkov, čím porušila všeobecné nariadenie o ochrane údajov (GDPR).
Podľa ICO neurobila firma dostatočné kroky, aby zabránila tejto situácii, hoci riziká podobného typu boli známe už roky. Reakčný čas bol podľa úradu pomalý a komunikácia so zasiahnutými používateľmi bola nedostatočná. Spoločnosť sa naďalej bráni, no verejné stratenie dôvery je jasné – a finančné dôsledky môžu ešte len nastať.
Dopad na zákazníkov: čo únik znamená pre jednotlivcov
Únik genetických údajov je pre bežného používateľa zásadný problém. Zatiaľ čo heslá sa dajú zmeniť, DNA nie. A práve preto je riziko pri genetických databázach oveľa väčšie než pri bežných internetových službách.
Tisíce ľudí vyjadrili obavy z toho, čo bude s ich údajmi ďalej. Niektorí sa báli, že ich príbuzní budú identifikovaní bez súhlasu. Iní zvažovali právne kroky voči spoločnosti. Objavili sa prípady, keď uniknuté údaje boli použité na vytváranie falošných profilov či pokusov o vydieranie. Ide naozaj o reálnu hrozbu, nie len o hypotetický scenár.
Ako mohli použiť vaše údaje?
- Falošné zdravotné poistenie a požiadavky na liečbu
- Vydieranie na základe genetických predispozícií
- Identifikácia vzdialených príbuzných a ich kontaktovanie bez súhlasu
- Získavanie informácií o pôvode a zdravotných rizikách
Dôsledky pre celý sektor genetických služieb
Tento prípad spustil veľkú vlnu diskusií aj medzi ostatnými poskytovateľmi genetických služieb. AncestryDNA, MyHeritage aj ďalšie firmy začali upravovať svoje bezpečnostné štandardy. Dôvera verejnosti však dostala zásadnú trhlinu. Mnoho ľudí zvažuje odstránenie svojho profilu alebo požiadanie o vymazanie genetických dát, ak to platforma umožňuje.
Odborníci na kybernetickú bezpečnosť varujú, že práve biomedicínske údaje sa stávajú čoraz častejším cieľom útokov. Dôvod je jasný – sú hodnotné a veľmi ťažko meniteľné. Ani legislatíva v mnohých krajinách nedrží krok so skutočnými rizikami. Situácia s 23andMe preto ukázala, že aj veľké firmy môžu tvrdo naraziť, ak podcenia digitálnu bezpečnosť.
Čo z toho vyplýva pre vás – používateľa genetických služieb
Ak ste niekedy využili 23andMe alebo podobnú službu, stojí za to, aby ste sa pozreli na svoje konto. Skontrolujte, či máte zapnuté dvojfaktorové overenie. Uistite sa, že používate silné, unikátne heslo len pre túto stránku. A zamyslite sa, či chcete, aby vaše údaje zostali v systéme. Väčšina služieb umožňuje požiadať o ich úplné vymazanie – nájsť túto možnosť zvyčajne trvá len pár minút.
Taktiež sledujte svoje e-maily – nie len kvôli phishingovým správam, ktoré sa môžu objaviť, ale aj kvôli oficiálnym oznámeniam od spoločnosti. V prípade podozrivých aktivít kontaktujte službu okamžite. Vaša genetická informácia vás sprevádza celý život. Ochrana týchto údajov preto nie je luxus, ale nevyhnutnosť.
Čo sa môžeme naučiť z prípadu 23andMe
Celý incident so spoločnosťou 23andMe ukazuje, ako krehká je digitálna bezpečnosť, aj keď ide o tak vážne údaje ako je naša DNA. Hackeri neprestávajú útočiť a aj tie najväčšie firmy môžu zlyhať. To, že sa to stalo firme s miliónmi zákazníkov po celom svete, by nás malo upozorniť. Nie ako senzácia, ale ako výzva k zodpovednosti – na oboch stranách.
Firmy musia vnímať ochranu dát ako prioritu. Nestačí chrániť svoje systémy len minimálne, ak spravujete údajne najosobnejšie informácie, ktoré človek môže zdieľať. 23andMe zlyhalo ako vo svojej technológii, tak aj v komunikácii s používateľmi. A to sa jednoducho nedá ospravedlniť zhodou nešťastných okolností.
Ako používateľ máte svoje práva aj možnosti. Skontrolovať si nastavenia, zabezpečiť účty a žiadať vysvetlenia – to všetko je bežná súčasť internetovej hygieny dnes. No čo je ešte dôležitejšie – rozmýšľať, aké údaje zdieľame, komu ich poskytujeme a či je to naozaj potrebné. Aj v digitálnom svete by malo platiť to isté, čo v tom reálnom – dôvera sa buduje ťažko a stráca rýchlo.
Prípad 23andMe teda nie je len správa o pokute a o chybe. Je lekciou pre technologické firmy, regulátorov aj pre nás ako používateľov. V digitálnej dobe je genetická anonymita luxus, ktorý si už možno nemôžeme dovoliť. Aj preto je na čase žiadať viac – viac zodpovednosti, viac ochrany a viac transparentnosti. Pretože kým technológia napreduje, naša obrana by nemala zaostávať.
