สรุปสั้น

บริษัท 23andMe ผู้ให้บริการตรวจพันธุกรรม (ปัจจุบันคือ Chrome Holding Co.) ตกลงจ่ายเงิน 18 ล้านดอลลาร์เพื่อยุติข้อเรียกร้องจากกลุ่มพันธมิตรอัยการสูงสุด 43 รัฐ ที่กล่าวหาว่าบริษัทล้มเหลวในการปกป้องข้อมูลพันธุกรรมของลูกค้า โดย 23andMe ได้เปิดเผยเหตุข้อมูลรั่วไหลครั้งใหญ่เมื่อเดือนตุลาคม 2566 ซึ่งเกิดจากการโจมตีแบบ credential-stuffing ที่ไม่ถูกตรวจพบนานถึงห้าเดือน ตั้งแต่เดือนเมษายนถึงกันยายน 2566 ระหว่างเหตุการณ์นั้นผู้โจมตีขโมยข้อมูลของลูกค้า 6.9 ล้านคน รวมถึงข้อมูลบรรพบุรุษทางพันธุกรรม ซึ่งบางส่วนถูกนำไปเสนอขายบนดาร์กเว็บในภายหลัง โดยผู้โจมตีปล่อยโปรไฟล์พันธุกรรมหลายล้านรายการเป็นหลักฐานยืนยันว่าข้อมูลเป็นของจริง นาง Letitia James อัยการสูงสุดแห่งรัฐนิวยอร์ก เปิดเผยว่าการสอบสวนหลายรัฐพบว่าบริษัทขาดมาตรการป้องกันขั้นพื้นฐานต่อการโจมตีที่อาศัยข้อมูลรับรอง ทั้งการบล็อกรหัสผ่าน (password blocklisting) การยืนยันตัวตนหลายชั้น การจำกัดอัตราการเข้าถึง การป้องกันการบุกรุก และการเฝ้าระวังตรวจจับการรั่วไหล

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า บริษัท 23andMe ตกลงจ่ายเงิน 18 ล้านดอลลาร์เพื่อยุติข้อเรียกร้องจากกลุ่มพันธมิตรอัยการสูงสุด 43 รัฐ นาง Letitia James อัยการสูงสุดแห่งนิวยอร์ก ระบุเมื่อวันอังคารว่าการสอบสวนหลายรัฐที่เริ่มต้นหลังการเปิดเผยเหตุการณ์ พบว่าบริษัทขาดมาตรการพื้นฐานในการป้องกันการโจมตีทางไซเบอร์ที่อาศัยข้อมูลรับรอง นอกจากนี้ผู้สอบสวนยังพบว่า 23andMe ไม่ได้จัดการกับกิจกรรมการล็อกอินที่ผิดปกติและไม่ได้แก้ไขช่องโหว่ที่รู้จักแล้ว โดยในตอนแรกบริษัทปฏิเสธว่าไม่ได้เกิดเหตุข้อมูลรั่วไหล จากนั้นก็โยนความผิดให้กับพฤติกรรมการตั้งบัญชีและรหัสผ่านของลูกค้าเอง

ข้อตกลงยอมความครั้งนี้กำหนดข้อบังคับด้านความปลอดภัยใหม่ให้กับ TTAM รวมถึงการตั้งคณะกรรมการที่ปรึกษาด้านความปลอดภัยข้อมูล การกำหนดระเบียบวิธีวิเคราะห์ความเสี่ยง และการคงสิทธิ์ของผู้บริโภคในการลบข้อมูลของตนเองต่อไป นาง James กล่าวว่าบริษัทมีหน้าที่ปกป้องข้อมูลส่วนบุคคลของลูกค้าจากแฮ็กเกอร์ แต่ 23andMe กลับทำให้ลูกค้าหลายล้านคนตกอยู่ในความเสี่ยงด้วยมาตรการความปลอดภัยที่อ่อนแอ ชาวนิวยอร์กไว้วางใจฝากข้อมูลพันธุกรรมที่อ่อนไหวและเป็นส่วนตัวไว้กับบริษัท แต่กลับพบว่าข้อมูลถูกขโมยและนำไปประกาศขายในมุมมืดของอินเทอร์เน็ต

ลำดับเหตุการณ์และบทลงโทษ

เหตุข้อมูลรั่วไหลปี 2566 ยังนำไปสู่การฟ้องร้องแบบกลุ่ม (class-action) หลายคดี ทำให้ 23andMe ต้องแก้ไขข้อกำหนดการใช้งานในเดือนพฤศจิกายน 2566 เพื่อให้ฟ้องร้องบริษัทได้ยากขึ้น โดยอ้างว่าการเปลี่ยนแปลงมีเจตนาเพียงเพื่อทำให้กระบวนการอนุญาโตตุลาการง่ายขึ้นเท่านั้น ต่อมาในเดือนกันยายน 2567 บริษัทผู้ให้บริการตรวจพันธุกรรมที่ตั้งอยู่ในแคลิฟอร์เนียแห่งนี้ยังตกลงจ่ายเงิน 30 ล้านดอลลาร์เพื่อยุติคดีฟ้องร้องแบบกลุ่มอีกคดีหนึ่งที่เกี่ยวกับเหตุข้อมูลรั่วไหลปี 2566

23andMe ยื่นล้มละลายตามมาตรา 11 (Chapter 11) เมื่อเดือนมีนาคม 2568 พร้อมประกาศแผนขายทรัพย์สินหลังประสบปัญหาทางการเงินมาหลายปี ซึ่งเป็นเหตุให้นาง James และกลุ่มพันธมิตรยื่นข้อเรียกร้องที่เกี่ยวข้อง ในเดือนมิถุนายน 2568 นาง James พร้อมอัยการสูงสุดอีก 27 รัฐได้ฟ้องเพื่อปกป้องข้อมูลพันธุกรรมของลูกค้าระหว่างกระบวนการล้มละลาย ในเดือนเดียวกันนั้นสำนักงานคณะกรรมการข้อมูลข่าวสารแห่งสหราชอาณาจักร (ICO) ยังได้ปรับ 23andMe เป็นเงิน 2.31 ล้านปอนด์ (ราว 3.12 ล้านดอลลาร์) จาก “ความล้มเหลวด้านความปลอดภัยที่ร้ายแรง” ที่นำไปสู่เหตุข้อมูลรั่วไหลปี 2566 สี่เดือนต่อมาในเดือนกรกฎาคม 2568 องค์กรไม่แสวงหากำไร TTAM Research Institute (ปัจจุบันจดทะเบียนใหม่เป็น 23andMe Research Institute นำโดยนาง Anne Wojcicki ผู้ร่วมก่อตั้ง 23andMe) ได้เข้าซื้อกิจการยักษ์ใหญ่ด้านการตรวจ DNA รายนี้เสร็จสิ้น หลังตกลงจ่ายเงิน 305 ล้านดอลลาร์เพื่อซื้อทรัพย์สินทั้งหมด

ผลกระทบต่อไทย

แม้ 23andMe จะเป็นบริษัทในสหรัฐฯ และเหตุการณ์นี้เป็นคดีในเขตอำนาจของอัยการรัฐต่าง ๆ ในอเมริกา แต่กรณีนี้เป็นบทเรียนสำคัญสำหรับผู้ให้บริการและผู้บริโภคในไทย โดยเฉพาะในยุคที่บริการตรวจพันธุกรรมและข้อมูลชีวภาพเริ่มแพร่หลายมากขึ้น ข้อมูลพันธุกรรมเป็นข้อมูลที่อ่อนไหวที่สุดประเภทหนึ่ง เพราะไม่สามารถเปลี่ยนหรือรีเซ็ตได้เหมือนรหัสผ่าน หากรั่วไหลแล้วก็รั่วไหลตลอดไป และยังพัวพันถึงญาติพี่น้องทางสายเลือดที่ไม่เคยใช้บริการด้วย เหตุการณ์นี้ยังตอกย้ำว่าการโจมตีแบบ credential-stuffing ซึ่งอาศัยรหัสผ่านที่รั่วจากบริการอื่นมาลองล็อกอิน เป็นภัยที่ป้องกันได้ด้วยมาตรการพื้นฐานอย่างการยืนยันตัวตนหลายชั้น การบล็อกรหัสผ่านที่พบว่ารั่วแล้ว และการจำกัดอัตราการล็อกอิน องค์กรไทยที่เก็บข้อมูลอ่อนไหวของลูกค้าจึงควรถือกรณีนี้เป็นตัวอย่างว่าการละเลยมาตรการพื้นฐานอาจนำไปสู่ทั้งความเสียหายต่อลูกค้าและบทปรับทางกฎหมายที่รุนแรง

คำแนะนำ

องค์กรที่เก็บข้อมูลส่วนบุคคลและข้อมูลอ่อนไหวของลูกค้าควรบังคับใช้การยืนยันตัวตนหลายชั้น (MFA) เป็นค่าเริ่มต้น พร้อมทั้งตรวจสอบรหัสผ่านของผู้ใช้กับฐานข้อมูลรหัสผ่านที่รั่วไหลแล้ว (password blocklisting) เพื่อป้องกันการโจมตีแบบ credential-stuffing ควรตั้งค่าจำกัดอัตราการล็อกอิน (rate limiting) และวางระบบตรวจจับพฤติกรรมการล็อกอินที่ผิดปกติ เช่น การพยายามล็อกอินจำนวนมากจากหลาย IP หรือความสำเร็จของการล็อกอินจากตำแหน่งที่ไม่คุ้นเคย นอกจากนี้องค์กรควรมีระบบเฝ้าระวังและตรวจจับการรั่วไหลที่ทำงานตลอดเวลา เพื่อไม่ให้เกิดกรณีที่ผู้บุกรุกเข้าถึงข้อมูลได้นานหลายเดือนโดยไม่มีใครรู้ตัว สำหรับผู้บริโภคควรตั้งรหัสผ่านที่ไม่ซ้ำกันในแต่ละบริการและเปิดใช้ MFA ทุกครั้งที่บริการรองรับ โดยเฉพาะบริการที่เก็บข้อมูลอ่อนไหวอย่างข้อมูลสุขภาพและพันธุกรรม

แหล่งอ้างอิง