Op mod et stormløb af retssager nægter 23andMe ansvar for millioner af brugeres genetiske optegnelser, der blev lækket sidste efterår.
In et brev sendt til en gruppe brugere sagsøgte virksomheden opnået af TechCrunch, lagde advokater, der repræsenterede biotekvirksomheden, en sag om, at brugerne var skyld i de data, der måtte være blevet afsløret.
Som det var afsløret i sidste måned, brød hackere ikke virksomhedens interne systemer. I stedet fik de adgang til omkring 14,000 konti ved hjælp af legitimationsfyldning, og fik derefter adgang til data fra næsten syv millioner flere via webstedets valgfri DNA-slægtninge-delingsfunktion.
Argumentet rejser et vigtigt spørgsmål for domstolene såvel som den bredere cybersikkerhedsindustri: Hvilken del af ansvaret ligger hos brugeren versus tjenesteudbyderen, når legitimationsoplysningerne bliver fyldt?
"Alle burde vide bedre end at bruge en uhygiejnisk legitimation," siger Steve Moore, vicepræsident og sikkerhedsstrateg hos Exabeam. "Men på samme tid burde den organisation, der leverer servicen, have evner til at begrænse risikoen for det."
23andMe's begrundelse
Brugergruppen, der sagsøger 23andMe, hævder, at virksomheden overtrådte California Privacy Rights Act (CPRA), California Confidentiality of Medical Information Act (CMIA) og Illinois Genetic Information Privacy Act (GIPA) og begik en række andre overtrædelser af almindelig lov. .
Til det første punkt, forklarede virksomhedens advokater, "brugere genbrugte uagtsomt og undlod at opdatere deres adgangskoder" efter tidligere hændelser, der påvirker deres logins, "som ikke er relateret til 23andMe. Derfor var hændelsen ikke et resultat af 23andMe's påståede manglende opretholdelse af rimelige sikkerhedsforanstaltninger i henhold til CPRA." Lignende logik gælder for GIPA, selvom de tilføjede, at "23andMe mener ikke, at Illinois-lovgivningen gælder her."
23andMe har ikke nødvendigvis levet op til alle dets høje sikkerhedsløfter. Med det sagt, var der kontosikkerhedsfunktioner tilgængelige for kunder, som kunne have forhindret fyldning af legitimationsoplysninger, inklusive totrinsbekræftelse med en godkendelsesapp. Og følger virksomhedens første opdagelse og offentlig meddelelse, implementerede den en række standard sikkerhedsafhjælpninger, herunder at underrette politiet, afslutte alle aktive brugersessioner og kræve, at alle brugere skal nulstille deres adgangskoder.
"Lige så vigtigt er det, at den information, der potentielt blev tilgået, ikke kan bruges til skade," skrev advokaterne. "Profilinformationen, der kan være tilgået, relaterer sig til DNA Relatives-funktionen, som en kunde opretter og vælger at dele med andre brugere på 23andMes platform," og "den information, som den uautoriserede aktør potentielt har fået om sagsøgere, kunne ikke have været brugt til at forårsage økonomisk skade (det indeholdt ikke deres cpr-nummer, kørekortnummer eller nogen betalings- eller økonomiske oplysninger)."
arten af de stjålne data giver også rabatter på CMIA, forklarer brevet, da det "ikke udgjorde 'medicinsk information', selvom det var individuelt identificerbart)."
Hvem er ansvarlig, når legitimationsoplysninger lækker?
23andMe-konti er ikke entydigt usikre. "Enhver organisation, du kan komme i tanke om, der har en kundeportal, uanset om de vil indrømme det eller ej, har dette problem, bare ikke altid i denne skala," siger Moore.
Således opstår et bredere, dybere spørgsmål. Enhver genbrugt adgangskode kan bebrejdes dens bruger, men vel vidende, at praksis er endemisk på tværs af nettet, påhviler der så tjenesteudbyderen et eller andet ansvar for at beskytte konti?
»Ansvaret, tror jeg, er delt. Og det er ikke et sjovt svar,« erkender Moore.
På den ene side har brugerne en vaskeri liste over bedste praksis de kan stole på for at gøre kontoovertagelse ikke umulig, men i det mindste meget vanskelig.
Samtidig påpeger Moore, at virksomheder skal bruge deres egen magt for at beskytte deres kunder med de mange værktøjer, de har til deres rådighed. Ud over at tilbyde (eller kræve) multifaktorgodkendelse, kan websteder håndhæve stærke adgangskodetærskler og give brugere besked, når login sker fra usædvanlige steder eller med usædvanlige frekvenser. "Så fra et juridisk synspunkt: Hvad siger dine servicevilkår og acceptabel brugspolitik? Når en bruger accepterer en aftale, hvad er de så enige om, at deres hygiejne vil være?” han spørger.
"Jeg synes, at der burde være en kundes erklæring om dette, som siger, at hvis du administrerer følsomme personlige oplysninger, skal kundeportaler tilbyde en måde at tjekke for stærke legitimationsoplysninger, en måde at tjekke mod kendte brud på og en måde at sikre du har adaptiv godkendelse eller multi-faktor, der ikke bruger fejlbare midler som SMS. Så kan vi sige: det er minimumskravet,” siger han.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :har
- :er
- :ikke
- $OP
- 000
- 14
- a
- Om
- acceptabel
- accepterer
- adgang
- af udleverede
- Konto
- kontoovertagelse
- Konti
- tværs
- Lov
- aktiv
- adaptive
- tilføjet
- indrømme
- påvirker
- mod
- Aftale
- Alle
- påståede
- også
- altid
- an
- ,
- besvare
- enhver
- app
- gælder
- ER
- hævder
- argument
- AS
- At
- Godkendelse
- til rådighed
- BE
- været
- Tro
- BEDSTE
- Bedre
- Beyond
- Bill
- biotek
- biotekvirksomhed
- brud
- brud
- bredere
- men
- by
- california
- CAN
- kan ikke
- kapaciteter
- tilfælde
- Årsag
- kontrollere
- chef
- engageret
- Fælles
- Virksomheder
- selskab
- fortrolighed
- udgøre
- kunne
- Domstole
- skaber
- KREDENTIAL
- legitimationsstopning
- Legitimationsoplysninger
- kunde
- Kunder
- Cybersecurity
- data
- dybere
- DID
- gjorde ikke
- svært
- rabatter
- opdagelse
- bortskaffelse
- dna
- do
- gør
- gør ikke
- driver
- håndhæve
- håndhævelse
- lige
- Ether (ETH)
- Endog
- alle
- forklarede
- Forklarer
- udsat
- mislykkedes
- Manglende
- Fall
- Feature
- Funktionalitet
- finansielle
- økonomisk information
- Fornavn
- efter
- Til
- fra
- sjovt
- genetiske
- få
- gå
- gruppe
- hackere
- hånd
- skade
- Have
- he
- link.
- HTTPS
- i
- if
- Illinois
- implementeret
- vigtigt
- umuligt
- hændelse
- hændelser
- omfatter
- Herunder
- Individuelt
- industrien
- oplysninger
- usikker
- i stedet
- interne
- spørgsmål
- IT
- ITS
- jpg
- lige
- Kend
- Kendskab til
- kendt
- Efternavn
- Lov
- retshåndhævelse
- Retssager
- Advokater
- lække
- mindst
- Politikker
- brev
- ansvar
- Licens
- ligger
- ligesom
- GRÆNSE
- Liste
- ophøjede
- logik
- logins
- vedligeholde
- lave
- styring
- mange
- Kan..
- midler
- foranstaltninger
- medicinsk
- måske
- million
- millioner
- minimum
- mere
- multi-faktor autentificering
- skal
- næsten
- nødvendigvis
- Behov
- Varsel..
- bemyndigende
- nummer
- opnået
- forekomme
- of
- tilbyde
- tilbyde
- on
- ONE
- stormløb
- or
- organisation
- Andet
- ud
- egen
- Adgangskode
- Nulstilling/ændring af adgangskoder
- betaling
- personale
- Steder
- perron
- plato
- Platon Data Intelligence
- PlatoData
- Punkt
- punkter
- politik
- Portal
- potentielt
- magt
- praksis
- præsident
- forhindret
- Forud
- Beskyttelse af personlige oplysninger
- Problem
- Profil
- beskytte
- beskyttelse
- give
- udbyder
- giver
- offentlige
- spørgsmål
- rejser
- RE
- rimelige
- optegnelser
- genanvendt
- relaterede
- slægtninge
- stole
- repræsenterer
- krav
- ansvar
- ansvarlige
- resultere
- rettigheder
- Risiko
- s
- Said
- samme
- siger
- siger
- Scale
- sikkerhed
- Sikkerhedsforanstaltninger
- følsom
- sendt
- Series
- tjeneste
- Tjenesteudbyder
- sessioner
- syv
- Del
- delt
- deling
- bør
- lignende
- websted
- Websteder
- SMS
- Social
- nogle
- standard
- standpunkt
- Steve
- stjålet
- Strateg
- stærk
- udstopning
- sikker
- Systemer
- T
- overtage
- TechCrunch
- vilkår
- terms of service
- end
- at
- oplysninger
- deres
- derefter
- Der.
- derfor
- de
- tror
- denne
- selvom?
- Gennem
- tid
- til
- værktøjer
- uberettiget
- under
- entydigt
- usædvanlig
- Opdatering
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- Verifikation
- versus
- meget
- vice
- Vice President
- krænket
- Overtrædelser
- ønsker
- var
- Vej..
- we
- GODT
- var
- Hvad
- uanset
- hvornår
- hvorvidt
- som
- med
- skrev
- dig
- Din
- zephyrnet