In seguito al data breach di ottobre e alle successive indagini, 23andMe ha confermato l’accesso ai dati di quasi 7 milioni di utenti. L’azienda californiana ha quindi ricevuto numerose denunce per violazione della privacy. I nuovi termini del servizio, in vigore dal 30 novembre, ostacolano l’avvio di una class action.
Arbitrato obbligatorio
Ignoti cybercriminali hanno utilizzato la tecnica del credential stuffing (credenziali ottenute da altri siti compromessi che gli utenti hanno usato anche su 23andMe) per accedere agli account di circa 14.000 utenti. Sfruttando le funzionalità DNA Relatives e Family Tree hanno quindi rubato i dati di circa 6,9 milioni di persone. L’azienda californiana ha informato gli utenti interessati, resettato le password e richiesto l’uso obbligatorio dell’autenticazione in due fattori.
Senza nessuna comunicazione pubblica sono stati aggiornati anche i termini del servizio, in particolare la sezione 5 relativa alla risoluzione delle controversie. Queste modifiche sono state probabilmente apportate per ostacolare l’avvio di azioni legali. Gli utenti devono comunicare di non accettare i nuovi termini entro 30 giorni, altrimenti dovranno rispettarli (silenzio assenso).
Un portavoce di 23andMe ha dichiarato che le modifiche velocizzano la risoluzione delle controversie e non limitano il diritto di presentare una denuncia. In realtà, i nuovi termini prevedono l’uso obbligatorio dell’arbitrario entro 60 giorni e la rinuncia alle azioni collettive (class action), come quelle già avviate in California, Illinois e Canada. Secondo diversi esperti, queste modifiche non serviranno a nulla in tribunale.