加拿大和英國的隱私保護機構已展開聯合調查，以評估去年23andMe 資料外洩事件中暴露的客戶敏感資訊的範圍。加拿大隱私專員和資訊專員辦公室（ICO）也將調查該公司是否有足夠的保障措施來保護儲存在其係統中的客戶資料。

聯合調查也將審查23andMe 是否按照加拿大和英國隱私和資料保護法律的要求，提醒受影響的個人和隱私監管機構。

“如果落入壞人之手，個人的基因資訊可能會被濫用於監視或歧視。”加拿大隱私專員Philippe Dufresne說：”確保個人資訊得到充分保護，免受惡意攻擊，是加拿大和世界各地隱私保護機構的重要關注點。

英國資訊專員約翰-愛德華茲（John Edwards）補充說：「人們需要相信，任何處理其最敏感個人資訊的機構都有適當的安全保障措施。」這次資料外洩事件具有國際影響，我們期待與加拿大同行合作，確保英國民眾的個人資訊受到保護”。

今年1 月，基因測試提供者23andMe 證實，攻擊者在4 月29 日至9 月27 日為期5 個月的憑證充塞攻擊中竊取了受影響客戶的健康報告和原始基因型數據。

攻擊者利用從其他資料外洩事件或網路平台外洩事件中竊取的憑證入侵了23andMe 帳戶。

在10 月10 日偵測到攻擊後，23andMe 開始要求所有客戶重設密碼。自11 月6 日起，所有新客戶和現有客戶都預設啟用了雙重認證。

該公司在發給受影響個人的資料外洩通知函中披露，一些被盜資料被發佈在BreachForums 駭客論壇和非官方的23andMe subreddit 上。

23andMe 客戶資料外洩（BleepingComputer）

洩漏的資訊包括居住在英國的410 萬人和100 萬阿什肯納茲猶太人的資料。

23andMe在去年12月揭露，威脅行為者在入侵約14,000 個使用者帳號後，下載了1,400 萬客戶中690 萬客戶的資料。

約有550 萬人透過DNA 親屬功能收集了數據，140 萬人透過家譜功能收集了數據。

由於這一事件，23andMe 遭到了多起訴訟，促使該公司於11 月30 日更新了使用條款，使客戶更難加入集體訴訟。

不過，23andMe 表示，做出這些改變是為了提高仲裁程序的效率，讓客戶更容易理解。