Trotz einer Flut von Klagen weist 23andMe die Haftung für die im vergangenen Herbst durchgesickerten genetischen Datensätze von Millionen von Nutzern zurück.
In ein Brief, der an eine Gruppe von Benutzern gesendet wird Als die Anwälte des Biotech-Unternehmens das von TechCrunch erhaltene Unternehmen verklagten, argumentierten sie, dass die Benutzer für die möglicherweise offengelegten Daten verantwortlich seien.
Wie es war im letzten Monat enthüllt, Hacker haben nicht in die internen Systeme des Unternehmens eingedrungen. Stattdessen verschafften sie sich mithilfe von Credential Stuffing Zugriff auf etwa 14,000 Konten und griffen dann über die optionale DNA Relatives-Sharing-Funktion der Website auf Daten von fast sieben Millionen weiteren zu.
Das Argument wirft eine wichtige Frage für Gerichte und die gesamte Cybersicherheitsbranche auf: Welcher Anteil der Verantwortung liegt beim Benutzer im Vergleich zum Dienstanbieter, wenn Zugangsdaten verstopfen?
„Jeder sollte es besser wissen, als einen unhygienischen Ausweis zu verwenden“, sagt Steve Moore, Vizepräsident und Chef-Sicherheitsstratege bei Exabeam. „Aber gleichzeitig sollte die Organisation, die den Dienst bereitstellt, über Möglichkeiten verfügen, das Risiko dafür zu begrenzen.“
Die Begründung von 23andMe
Die Benutzergruppe, die 23andMe verklagt, argumentiert, dass das Unternehmen gegen den California Privacy Rights Act (CPRA), den California Confidentiality of Medical Information Act (CMIA) und den Illinois Genetic Information Privacy Act (GIPA) verstoßen und eine Reihe weiterer Verstöße gegen das Common Law begangen habe .
Zum ersten Punkt erklärten die Anwälte des Unternehmens: „Benutzer haben ihre Passwörter fahrlässig recycelt und es versäumt, sie zu aktualisieren“, nachdem es zu früheren Vorfällen mit ihren Logins gekommen war, „die nichts mit 23andMe zu tun haben.“ Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen im Rahmen des CPRA aufrechtzuerhalten.“ Eine ähnliche Logik gilt für GIPA, allerdings fügten sie hinzu, dass „23andMe nicht glaubt, dass das Gesetz von Illinois hier gilt.“
23andMe ist dem nicht unbedingt gerecht geworden all seine hohen Sicherheitsversprechen. Allerdings standen den Kunden Kontosicherheitsfunktionen zur Verfügung, die das Füllen von Anmeldeinformationen hätten verhindern können, einschließlich der zweistufigen Verifizierung mit einer Authentifizierungs-App. Und im Einklang mit dem Unternehmen erste Entdeckung und öffentliche BekanntmachungEs implementierte eine Reihe standardmäßiger Sicherheitsmaßnahmen, darunter die Benachrichtigung der Strafverfolgungsbehörden, die Beendigung aller aktiven Benutzersitzungen und die Aufforderung an alle Benutzer, ihre Passwörter zurückzusetzen.
„Ebenso wichtig ist, dass die Informationen, auf die möglicherweise zugegriffen wurde, nicht für Schäden genutzt werden können“, schrieben die Anwälte. „Die Profilinformationen, auf die möglicherweise zugegriffen wurde, stehen im Zusammenhang mit der DNA-Verwandtschaftsfunktion, die ein Kunde erstellt und mit anderen Benutzern auf der Plattform von 23andMe teilen möchte“, und „die Informationen, die der nicht autorisierte Akteur möglicherweise über Kläger erhalten hat, konnten nicht verwendet werden.“ einen finanziellen Schaden verursachen (es wurden weder die Sozialversicherungsnummer noch die Führerscheinnummer noch Zahlungs- oder Finanzinformationen angegeben).“
Das Art der gestohlenen Daten CMIA wird ebenfalls nicht berücksichtigt, heißt es in dem Schreiben, da es „keine ‚medizinischen Informationen‘ darstellte, obwohl sie individuell identifizierbar waren).“
Wer ist verantwortlich, wenn Zugangsdaten verloren gehen?
23andMe-Konten sind nicht ausschließlich unsicher. „Jede Organisation, die über ein Kundenportal verfügt, hat dieses Problem, ob sie es nun zugeben will oder nicht, allerdings nicht immer in dieser Größenordnung“, sagt Moore.
Somit entsteht ein umfassenderes, tieferes Problem. Für jedes wiederverwendete Passwort kann der Benutzer verantwortlich gemacht werden, aber in dem Wissen, dass dies der Fall ist endemisch im InternetLiegt dann ein Teil der Verantwortung für den Schutz der Konten beim Dienstanbieter?
„Ich denke, die Haftung ist geteilt. Und das ist keine lustige Antwort“, gibt Moore zu.
Einerseits haben Benutzer eine Wäscheliste mit Best Practices Sie können sich darauf verlassen, dass eine Kontoübernahme nicht unmöglich, aber zumindest sehr schwierig wird.
Gleichzeitig, so Moore, müssen Unternehmen ihre eigene Macht einsetzen, um ihre Kunden mit den vielen Tools, die ihnen zur Verfügung stehen, zu schützen. Über das Anbieten (oder Erfordernis) einer Multi-Faktor-Authentifizierung hinaus können Websites starke Kennwortschwellenwerte erzwingen und Benutzer benachrichtigen, wenn Anmeldungen von ungewöhnlichen Orten oder in ungewöhnlicher Häufigkeit erfolgen. „Dann aus rechtlicher Sicht: Was sagen Ihre Nutzungsbedingungen und Ihre Richtlinien zur akzeptablen Nutzung? Wenn ein Benutzer eine Vereinbarung akzeptiert, wie soll seine Hygiene sein?“ er fragt.
„Ich denke, es sollte eine Kundenrechtsrichtlinie dazu geben, die besagt, dass Kundenportale bei der Verwaltung sensibler persönlicher Daten eine Möglichkeit bieten müssen, nach sicheren Anmeldeinformationen zu suchen, eine Möglichkeit zur Prüfung auf bekannte Verstöße zu bieten und eine Möglichkeit zur Sicherstellung zu bieten Sie verfügen über eine adaptive oder Multi-Faktor-Authentifizierung, die keine fehlbaren Mittel wie SMS verwendet. Dann können wir sagen: Das ist die Mindestanforderung“, sagt er.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :hast
- :Ist
- :nicht
- $UP
- 000
- 14
- a
- Über uns
- akzeptabel
- Akzeptiert
- Zugang
- Zugriff
- Konto
- Kontoübernahme
- Trading Konten
- über
- Handlung
- aktiv
- adaptiv
- hinzugefügt
- eingestehen
- beeinflussen
- gegen
- Zustimmung
- Alle
- angeblich
- ebenfalls
- immer
- an
- und
- beantworten
- jedem
- App
- gilt
- SIND
- Argumentiert
- Argument
- AS
- At
- Authentifizierung
- verfügbar
- BE
- war
- Glauben
- BESTE
- Besser
- Beyond
- Bill
- Biotech-
- Biotech-Unternehmen
- Verletzung
- Verstöße
- breiteres
- aber
- by
- Kalifornien
- CAN
- kann keine
- Fähigkeiten
- Häuser
- Verursachen
- aus der Ferne überprüfen
- Chef
- begangen
- gemeinsam
- Unternehmen
- Unternehmen
- Vertraulichkeit
- bilden
- könnte
- Platz
- schafft
- KREDENTIAL
- Zeugnisfüllung
- Referenzen
- Kunde
- Kunden
- Internet-Sicherheit
- technische Daten
- tiefer
- DID
- didn
- schwer
- exklusive Rabatte
- Entdeckung
- Abfluss
- Frau
- do
- die
- doesn
- Fahrer
- erzwingen
- Durchsetzung
- gleichermaßen
- Äther (ETH)
- Sogar
- jedermann
- erklärt
- Erklärt
- ausgesetzt
- Gescheitert
- Scheitern
- Fallen
- Merkmal
- Eigenschaften
- Revolution
- Finanzinformation
- Vorname
- Folgende
- Aussichten für
- für
- Spaß
- genetisch
- bekommen
- gehen
- Gruppe an
- Hacker
- Pflege
- schaden
- Haben
- he
- hier
- HTTPS
- i
- if
- Illinois
- umgesetzt
- wichtig
- unmöglich
- Zwischenfall
- Zwischenfälle
- das
- Einschließlich
- Individuell
- Energiegewinnung
- Information
- unsicher
- beantragen müssen
- intern
- Problem
- IT
- SEINE
- jpg
- nur
- Wissen
- Wissend
- bekannt
- Nachname
- Recht
- Strafverfolgung
- Klagen
- Anwälte
- Leck
- am wenigsten
- Rechtlich
- Brief
- Haftung
- Lizenz
- liegt
- Gefällt mir
- LIMIT
- Liste
- hoch
- Logik
- logins
- halten
- um
- flächendeckende Gesundheitsprogramme
- viele
- Kann..
- Mittel
- Maßnahmen
- sowie medizinische
- könnte
- Million
- Millionen
- Minimum
- mehr
- Multi-Faktor-Authentifizierung
- sollen
- fast
- Notwendig
- Need
- Notiz..
- Benachrichtigung
- Anzahl
- erhalten
- auftreten
- of
- bieten
- bieten
- on
- EINEM
- Ansturm
- or
- Organisation
- Andere
- besitzen
- Passwort
- Passwörter
- Zahlung
- persönliche
- Länder/Regionen
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- Punkte
- Datenschutzrichtlinien
- Portal
- möglicherweise
- Werkzeuge
- Praxis
- Präsident
- verhindert
- Vor
- Datenschutz
- Aufgabenstellung:
- Profil
- Risiken zu minimieren
- Schutz
- die
- Versorger
- bietet
- Öffentlichkeit
- Frage
- wirft
- RE
- vernünftig
- Aufzeichnungen
- recycelt
- bezogene
- Verwandtschaft
- verlassen
- Darstellen
- Anforderung
- Verantwortung
- für ihren Verlust verantwortlich.
- Folge
- Rechte
- Risiko
- s
- Said
- gleich
- sagt
- Skalieren
- Sicherheitdienst
- Sicherheitsmaßnahmen
- empfindlich
- geschickt
- Modellreihe
- Dienstanbieter
- Sessions
- sieben
- Teilen
- von Locals geführtes
- ,,teilen"
- sollte
- ähnlich
- am Standort
- Seiten
- SMS
- Social Media
- einige
- Standard
- Standpunkt
- Steve
- gestohlen
- Stratege
- stark
- Füllung
- sicher
- Systeme und Techniken
- T
- Übernahme
- TechCrunch
- AGB
- Nutzungsbedingungen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- die Informationen
- ihr
- dann
- Dort.
- deswegen
- vom Nutzer definierten
- think
- fehlen uns die Worte.
- obwohl?
- Durch
- Zeit
- zu
- Werkzeuge
- unbefugt
- für
- einzigartig
- ungewöhnlich
- Aktualisierung
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- Verification
- Gegen
- sehr
- Schraubstock
- Vizepräsident:in
- verletzt
- Verstöße
- wollen
- wurde
- Weg..
- we
- GUT
- waren
- Was
- was auch immer
- wann
- ob
- welche
- mit
- schrieb
- U
- Ihr
- Zephyrnet