캐나다와 영국 개인정보 감독 기관은 23andMe의 보안 조치 미흡과 느린 대응을 강력히 비판했다. 2023년 10월, 해커들에게 거의 700만 명의 사용자의 민감한 정보가 유출되었다.
2025년 6월 17일, 나스닥닷컴의 보도에 따르면, 공동 조사에 따르면, 23andMe는 다중 인증 및 강력한 비밀번호 요구사항과 같은 필수 보호 조치를 결여했던 것으로 드러났다. 이로 인해 32만 명의 캐나다인과 15만5천 명의 영국인이 재활용된 자격증명을 이용한 해킹 공격에 취약한 상태가 되었다.
캐나다의 개인정보 위원장 필립 두프레네는 사이버 위협이 증가하는 가운데 데이터 보호의 중요성을 강조하는 ‘경계 신호’라며 이번 유출을 비판했다. 영국 정보위원장 존 에드워즈는 ‘특별 카테고리 유전자 데이터’에 대한 ‘기본적인’ 방어 조치를 구축하지 못했다며 회사에 £2.31 백만의 벌금을 부과했다. 에드워즈는 회사의 초기 경고 징후에 대한 ‘느린’ 반응을 질타했다.
공격자들은 DNS 시퀀스는 손상되지 않았지만, 생년, 위치, 가족정보, 건강 보고서 등을 탈취하고 이를 온라인에서 판매했다. 지난해, 23andMe는 3천만 달러의 합의금과 피해 고객에게 3년간의 신용 모니터링을 제공하기로 한 뒤 집단 소송을 해결했다.
현재 파산 절차 중인 23andMe의 자산은 3억500만 달러의 거래로 Regeneron을 제치고 TTAM 연구소에 인수될 예정이다. TTAM은 데이터 보안을 강화하고 기존의 개인정보 보호 정책을 유지하겠다는 법적 약속을 했다. 규제 기관들은 새로운 소유권 하에서의 어떠한 침해도 추가 집행을 촉발할 수 있으며, 한 번 유출된 유전자 정보는 복구될 수 없음을 강조했다.
