你撸过猫、吐过口水、把拭子寄给一家时髦的DNA检测公司,好奇自己祖上是游牧民族还是皇室后裔。几个月后,这些数据躺在黑客的数据库里,标签写着“亚裔”或“犹太人”,在暗网上打七折。

这就是23andMe七百多万用户要面对的真实剧本。加州总检察长罗伯·邦塔周四宣布,将对DNA检测公司Chrome Holding提起诉讼——它是23andMe破产重组后的接盘侠。邦塔直指原公司未能保护极其敏感的用户数据,还撒谎掩盖泄露规模。

打开网易新闻 查看精彩图片

“我们的调查发现,这家公司连保护用户数据的基础措施都没做到,”邦塔说,23andMe“在2023年数据泄露的严重性上对消费者撒了谎。” BBC已联系Chrome Holding,暂未收到回应。

这起泄露的恐怖之处不在量大,而在每一行数据都带着“生物身份证”。暴露的信息不是邮箱和密码,而是基因易感性、疾病风险因子、生物亲属关联、祖源和民族成分。几乎七百万用户的遗传画像同时裸奔。

更讽刺的是细分市场。邦塔披露,黑客在暗网上转卖数据时,特意标出了亚裔和太平洋岛民用户,还有犹太用户的数据包。在一个亚裔仇恨与反犹暴力抬头的阶段,基因标签变成定向瞄准器。

“这令人不安且极其危险,”邦塔说。他提到这次定向贩卖恰好发生在“反亚裔和反犹仇恨与暴力不断升级”的背景下。暗网上的分类标签把生物数据变成社会风险,用户的家谱变成猎杀清单。

攻击手法并不高级。黑客用的是“撞库”——用过去其他泄露事件中流出的密码,去试23andMe账号,很多用户习惯复用密码,一撞就开。这是一场靠用户惰性打透的战役,不需要零日漏洞,不需要APT组织。

2023年的泄露引爆后,国际监管接力跟进。英国信息专员办公室去年对23andMe开出231万英镑罚单,直指公司在事件前没有为敏感用户数据加装足够的安全措施。调查与加拿大隐私专员协调进行,最终认定23andMe在登录环节缺少适当的身份验证和核实措施,违反了英国法律。

英国这头有15万5592名居民的个人资料被访问。按英国数据保护法,基因数据属于特殊类别,照理要加挂额外的保护和防护措施。ICO的结论是,该有的门槛都没出现。

公司方面曾表态,已“作出若干具有约束力的承诺,以增强对客户数据和隐私的保护”。这句话现在听来,像是考试交白卷后说“我会好好写作业”。

这种不信任感在去年公司申请破产保护后彻底爆发。23andMe依照第11章破产程序,想通过法院监督的流程卖掉自己。当时不少用户突袭删除账号,却发现删不掉。舆论立刻转向另一个恐怖设想:如果保险公司拿到这些基因数据,用来判断要不要给你承保怎么办?

23andMe曾经站在流行文化的浪尖。联合创始人安妮·沃西基,是已故YouTube掌门人苏珊·沃西基的妹妹,也是谷歌联合创始人谢尔盖·布林的前妻。早期客户名单包括史努比·狗狗、奥普拉·温弗瑞、伊娃·朗格利亚。股价巅峰冲破300美元,到2024年坠崖。

一个把基因检测做成时尚单品的公司,最后困在数据泄露、破产甩卖和种族标签的连续剧里。现在,Chrome Holding作为继承者,要替前任背这些旧账,而加州邦塔的起诉只是新一轮监管风暴的引信。