Адміністратор процедури банкрутства компанії 23andMe погодив виплату $46,75 млн постраждалим від масштабного витоку даних у 2023 році. Угода має врегулювати судові позови, пов’язані з одним із найбільших витоків генетичної інформації споживачів за останні роки.
Згідно з матеріалами Суду США з питань банкрутства Східного округу Міссурі, $32,5 млн буде спрямовано на врегулювання об’єднаних колективних позовів. Угода є частиною процедури банкрутства компанії після подання заяви про захист від кредиторів за Главою 11 у березні 2025 року.
Ще близько $14,3 млн уже було виплачено компанії Kroll, яка виступає адміністратором врегулювання претензій. Судові документи свідчать, що $13 млн із цієї суми профінансували страховики кіберризиків.
Поліси кіберстрахування для 23andMe надавали Allied World Specialty Insurance Company, Houston Casualty Company (Tokio Marine HCC), Landmark American Insurance Company групи Berkshire Hathaway та андеррайтери Lloyd’s.
Загальна сума врегулювання на $3,25 млн менша за максимальний обсяг, передбачений мировою угодою від січня 2026 року. Позивачі вимагали $48 млн компенсації, однак суд дійшов висновку, що продовження судового процесу могло б затягнутися на місяці або навіть роки та потребувало б значних додаткових витрат.
Суд зазначив, що подальше судове провадження коштувало б мільйони доларів і зменшило б ресурси, доступні для інших учасників процедури банкрутства. Тому визначеність врегулювання була визнана пріоритетнішою за тривалу судову боротьбу.
Станом на 10 червня адміністратор уже врегулював понад 255 860 вимог. Водночас тисячі заяв залишаються невирішеними, зокрема щодо права на компенсацію та її розміру.
Розмір індивідуальних виплат суттєво відрізнятиметься: компенсації коливатимуться від $50 до $10 000 для виняткових випадків.
23andMe повідомила про інцидент у жовтні 2023 року. За даними компанії, несанкціонований доступ розпочався приблизно у квітні 2023 року та тривав близько п’яти місяців. Витік торкнувся майже половини з 14,1 млн клієнтів компанії на той момент.
Зловмисники отримали доступ до 5,5 млн профілів сервісу DNA Relatives, який дозволяє користувачам обмінюватися генетичною інформацією. Також було скомпрометовано дані ще 1,4 млн користувачів функції Family Tree.
Після банкрутства компанія продовжує діяльність під назвою Chrome Holding. Значна частина активів була продана, а згодом повернулася під контроль співзасновниці компанії Енн Воджіцькі. Спроба штату Каліфорнія заблокувати продаж виявилася безуспішною.
Позови були подані двома постраждалими до Федерального суду Північного округу Каліфорнії. Позивачі звинуватили компанію в недбалості, порушенні приватності, безпідставному збагаченні та порушенні неявного договору з користувачами.
Постраждалі стверджували, що зазнали збитків через підвищений ризик шахрайства та крадіжки особистих даних, понесли додаткові витрати на захист інформації, витратили час на мінімізацію наслідків інциденту та втратили частину вартості своїх персональних даних.
За повідомленнями, анонімний хакер виставив на продаж дані мільйонів користувачів, включаючи електронні адреси, фотографії, стать, дати народження та інформацію про генетичне походження.
Позивачі також заявили, що повідомлення компанії про інцидент було недостатньо інформативним, оскільки не містило пояснень щодо механізму кібератаки та її остаточного усунення.
У своєму повідомленні від 6 жовтня 2023 року 23andMe зазначила, що зловмисники використали повторне застосування паролів користувачами на різних вебсайтах, які раніше вже зазнали компрометації.
Компанія наголошувала, що її система безпеки перевищувала галузеві стандарти та мала кілька сертифікацій ISO. Також із 2019 року користувачам пропонувалася багатофакторна автентифікація.
Для ринку кіберстрахування справа 23andMe стала показовим прикладом того, як поліси реагують на масштабні витоки даних у межах процедур банкрутства.
Водночас страхове покриття компенсувало лише частину витрат, тоді як решта вимог залежить від активів компанії, судового нагляду та оцінки індивідуальних збитків.
Для андеррайтерів цей кейс підкреслює зростаючі ризики, пов’язані з генетичними та біометричними даними, повторним використанням паролів, колективними позовами та відповідальністю за порушення конфіденційності після кібератак на споживчі платформи.
