Perusahaan genetika 23andMe kembali menghadapi masalah hukum serius. Kantor Jaksa Agung California, Rob Bonta, secara resmi melayangkan gugatan terhadap perusahaan tersebut atas dugaan kegagalan perlindungan data yang berujung pada kebocoran data DNA jutaan pengguna pada tahun 2023.
Baca Juga: Ancaman Phishing Signal: Jurnalis dan Aktivis Jadi Target Pencurian Kunci Pemulihan
Gugatan ini menyoroti praktik keamanan yang dinilai tidak memadai dan tuduhan menyesatkan konsumen mengenai insiden tersebut.
Dilansir dari The Register, gugatan ini diajukan terhadap Chrome Holding Co., yang sebelumnya dikenal sebagai 23andMe, menuduh perusahaan gagal menerapkan kontrol keamanan yang memadai untuk catatan sensitif yang mereka simpan, serta menyesatkan pelanggan tentang sifat insiden setelah kejadian.
Baca Juga: Kerentanan PAN-OS GlobalProtect Dieksploitasi Aktif, Ancam Akses VPN
Jaksa Agung Bonta dan timnya mengklaim bahwa 23andMe tidak hanya gagal melindungi data genetik yang sangat sensitif dari jutaan orang, tetapi juga tidak memenuhi kewajibannya berdasarkan hukum California untuk menjaga informasi tersebut tetap aman. Lebih lanjut, perusahaan dituduh berbohong kepada konsumen tentang tingkat keparahan kebocoran data pada tahun 2023. “Investigasi kami menemukan bahwa perusahaan gagal mengambil langkah-langkah dasar untuk melindungi data pengguna – data termasuk informasi pribadi yang sensitif, riwayat keluarga, dan kondisi kesehatan konsumen,” ujar Bonta.
Kebocoran ini menjadi sangat “mengganggu” karena melibatkan data genetik yang sangat pribadi. Meskipun awalnya hanya sekitar 14.000 akun yang diretas melalui serangan credential stuffing, fitur “DNA Relatives” 23andMe memungkinkan peretas untuk mengakses detail hampir 7 juta pelanggan. Fitur ini, yang dirancang untuk menghubungkan pengguna dengan kerabat genetik, secara tidak langsung memperluas jangkauan kebocoran data secara eksponensial.
Data yang dicuri ini kemudian dijual di dark web, sebuah fakta yang semakin memperburuk situasi. “Penjualan data ini di dark web terjadi di tengah periode meningkatnya kebencian dan kekerasan anti-Asia Amerika dan Kepulauan Pasifik serta anti-Semit – dan secara eksplisit menarik perhatian pada sifat informasi yang sangat pribadi dan mengidentifikasi tersebut. Ini mengganggu dan sangat berbahaya. Hari ini, kantor saya menggugat 23andMe atas kegagalan kategorisnya untuk mematuhi hukum California,” tambah Bonta, menegaskan keseriusan insiden tersebut.
23andMe juga dikritik karena gagal mendeteksi intrusi selama lima bulan. Setelah insiden terungkap, perusahaan dituduh mengalihkan kesalahan kepada pelanggan, menyalahkan mereka karena menggunakan kembali kredensial (kata sandi yang sama untuk berbagai layanan) alih-alih mengakui bahwa mereka seharusnya mewajibkan otentikasi dua faktor (2FA) secara default.
Hingga saat ini, 23andMe masih mengizinkan pengguna untuk mengakses layanan tanpa 2FA, meskipun mereka secara rutin mengeluarkan prompt untuk mengaktifkannya.
Insiden ini bukan kali pertama 23andMe menghadapi sanksi. Pada Juni 2025, Komisioner Informasi Inggris (ICO) menjatuhkan denda sebesar £2,3 juta (sekitar $3,09 (kisaran Rp6 jutaan) juta) kepada perusahaan, menuduh mereka mengandalkan persyaratan kata sandi yang tidak memadai dan gagal mendeteksi intrusi dengan cepat.
Selain itu, 23andMe juga telah menyelesaikan gugatan class action sebesar $30 (kisaran Rp536 ribuan) juta pada tahun 2024. Gugatan Jaksa Agung California ini juga menuduh 23andMe membayar tebusan kepada peretas untuk menghapus informasi yang merusak dan mendapatkan detail kerentanan keamanan.
Gugatan ini diajukan terhadap Chrome Holding Co., yang merupakan nama baru dari 23andMe. Aset 23andMe sendiri telah diakuisisi oleh TTAM Research Institute pada 14 Juli 2025.
TTAM Research Institute didirikan dan dipimpin oleh Anne Wojcicki, yang juga merupakan CEO 23andMe pada saat kebocoran dan salah satu pendiri perusahaan. TTAM Research Institute menyatakan bahwa mereka akan menjalankan 23andMe secara nirlaba untuk penelitian medis dan pendidikan.
Menanggapi gugatan ini, 23andMe Research Institute, entitas baru yang mengelola aset, menyatakan bahwa mereka adalah organisasi nirlaba independen yang baru didirikan dan tidak terlibat dalam masalah yang dijelaskan dalam gugatan Jaksa Agung California terhadap Chrome Holding Co. “Gugatan tersebut berkaitan dengan peristiwa dan operasi yang terkait dengan entitas komersial sebelumnya sebelum pembentukan 23andMe Research Institute. Institut tidak terlibat dalam gugatan tersebut dan tidak memiliki peran dalam litigasi yang mendasarinya,” kata perwakilan institut. Mereka menegaskan fokus pada penelitian ilmiah dan kesehatan nirlaba dengan komitmen kuat terhadap privasi, etika, transparansi, dan pengelolaan data yang bertanggung jawab.
Baca Juga: Botnet “InterPlanetary Storm” Berhasil Ditumpas, Jutaan Perangkat Termasuk Android Terselamatkan
Dengan gugatan terbaru ini, 23andMe, atau entitas yang mewarisinya, kembali dihadapkan pada tantangan hukum yang signifikan terkait perlindungan data genetik. Kasus ini menjadi pengingat penting akan tanggung jawab besar perusahaan yang mengelola informasi pribadi dan sensitif, terutama di era digital yang penuh ancaman siber.
Leave a Comment