(TAP) - Tổng chưởng lý bang California - ông Rob Bonta vừa chính thức đệ đơn kiện công ty xét nghiệm di truyền 23andMe. Tiểu bang cáo buộc công ty này buông lỏng công tác bảo mật, dẫn đến vụ rò rỉ dữ liệu nghiêm trọng năm 2023, ảnh hưởng đến gần 7 triệu người dùng trên toàn lãnh thổ Hoa Kỳ.
Công ty xét nghiệm di truyền 23andMe hiện đã đổi tên thành Chrome Holding Co. sau khi nộp đơn phá sản vào tháng 3 năm ngoái. Ở đơn kiện lên Tòa án Thượng thẩm California Quận San Francisco (Superior Court of California, County of San Francisco) ngày 28/5, Sở Tư pháp California (State of California - Department of Justice) yêu cầu: tòa áp dụng hình phạt dân sự nghiêm khắc cùng lệnh cấm công ty tiếp tục vi phạm luật quyền riêng tư đang áp dụng ở tiểu bang.
Phía tiểu bang lập luận, vụ rò rỉ dữ liệu nghiêm trọng năm 2023 xảy ra khi tin tặc (hacker) tận dụng mật khẩu bị rò rỉ hồi năm 2017 bởi MyHeritage - đối tác cũ của 23andMe. Thời điểm đó, giới chuyên gia an ninh mạng nhiều lần cảnh báo nguy cơ bảo mật, song 23andMe lại thờ ơ không hề bắt buộc người dùng thay đổi mật khẩu hay áp dụng biện pháp xác thực đa yếu tố. Động thái trên càng tạo môi trường lý tưởng cho kẻ tấn công thoải mái hoạt động, khai thác dữ liệu hệ thống suốt hơn 5 tháng. Công ty chỉ chịu vào cuộc điều tra lúc thông tin cá nhân khách hàng bị rao bán công khai ở thị trường chợ đen trên không gian mạng để đòi tiền chuộc.
Tổng chưởng lý bang California Rob Bonta đệ đơn kiện công ty xét nghiệm di truyền 23andMe lên Tòa án Thượng thẩm California Quận San Francisco về vụ rò rỉ dữ liệu nghiêm trọng năm 2023. Nguồn: State of California - Department of Justice
Nghiêm trọng hơn, một số dữ liệu không chỉ là thông tin cá nhân cơ bản như địa điểm, năm sinh, mà còn bao gồm cả dữ liệu di truyền thô, báo cáo sức khỏe, hồ sơ ADN gia đình. California ước tính, thông tin của khoảng 1,1 triệu người dùng gốc Á - Thái Bình Dương, người Do Thái Ashkenazi đã trở thành mục tiêu giao dịch, rao bán công khai. Tổng chưởng lý Rob Bonta nhấn mạnh, hành vi này cực kỳ nguy hiểm, diễn ra giữa lúc làn sóng thù hận, bạo lực nhắm vào các cộng đồng thiểu số, dễ tổn thương ngày càng gia tăng tại Hoa Kỳ.
Bang California cũng cáo buộc 23andMe lừa dối công chúng khi tuyên bố chỉ biết đến vụ hack vào tháng 10/2023. Thực tế công ty này ngó lơ hàng loạt dấu hiệu bất thường từ nhiều tháng trước, bao gồm lượng đăng nhập tăng vọt hồi tháng 7 cùng năm, lẫn loạt cảnh báo trên mạng xã hội Reddit tháng 8. Dưới góc độ pháp lý, luật pháp California quy định: doanh nghiệp phụ trách cần bảo vệ dữ liệu di truyền ở mức nghiêm ngặt nhất. Do đó, Tổng chưởng lý Rob Bonta thời gian qua liên tục can thiệp vào quá trình 23andMe hoàn tất thủ tục phá sản, đảm bảo thông tin di truyền không bị chuyển giao sang bên thứ ba khi khách hàng chưa đồng ý.
Dù 23andMe đã bồi thường cho khách hàng vì làm lộ dữ liệu người dùng, chính quyền bang California vẫn có quyền kiện bổ sung, với lý do doanh nghiệp vi phạm luật pháp tiểu bang. Nguồn: 23andme.com
Trước áp lực pháp lý bủa vây, hồi tháng 1/2026, Tòa án Phá sản Hoa Kỳ phía Đông Missouri (U.S. Bankruptcy Court, Eastern District of Missouri) đồng ý phê duyệt khoản tiền dàn xếp trị giá 50 triệu USD mà 23andMe phải bồi thường khách hàng để giải quyết làn sóng kiện tụng tập thể. Dù khách hàng đã nhận đền bù, chính quyền bang California vẫn có quyền kiện bổ sung, răn đe doanh nghiệp vì làm ăn tắc trách, vi phạm luật pháp tiểu bang.
Huy Niel