اداره کمیساریای اطلاعات بریتانیا (ICO) شرکت آزمایش ژنتیک 23andMe را به دلیل “نقص‌های امنیتی جدی” که منجر به نقض داده‌های “عمیقاً آسیب‌رسان” در سال 2023 شد، 2.31 میلیون پوند (3.12 میلیون دلار) جریمه کرد. این حمله credential stuffing که با استفاده از اطلاعات ورود سرقتی انجام شد، به مدت پنج ماه بین آوریل تا سپتامبر 2023 متوجه نشد و منجر به سرقت داده‌های ژنوتیپ، گزارش‌های سلامت و اطلاعات شخصی ساکنان بریتانیا شد.

اطلاعات حساس سرقت شده شامل داده‌های 4.1 میلیون نفر از ساکنان بریتانیا و آلمان و همچنین یک میلیون یهودی اشکنازی بود که در سایت‌های subreddit غیررسمی 23andMe و انجمن هکری BreachForums منتشر شد. پس از کشف این نقض گسترده، 23andMe اقداماتی از جمله فعال‌سازی پیش‌فرض احراز هویت دو مرحله‌ای و الزام به تغییر رمز عبور اعمال کرد. این جریمه در حالی اعمال شد که شرکت مستقر در کالیفرنیا در اواخر مارس درخواست ورشکستگی فصل 11 داد و اعلام کرد قصد فروش دارایی‌هایش را دارد. این نقض داده‌ها منجر به چندین دعوای قضایی گروهی شده و شرکت در سپتامبر 2024 موافقت کرد 30 میلیون دلار برای تسویه دعوای مربوط به نقض داده‌های 6.4 میلیون مشتری در سراسر جهان پرداخت کند.