Kohtuasjade rünnaku vastu eitab 23andMe vastutust miljonite kasutajate geneetiliste andmete eest, mis lekkisid eelmisel sügisel.
In kasutajate rühmale saadetud kiri Kaebades TechCrunchi kätte saadud ettevõtte kohtusse, esitasid biotehnoloogiaettevõtet esindavad advokaadid juhtumi, mille kohaselt on kasutajad süüdi kõigis andmetes, mis võisid avaldada.
Nagu oli avalikustati eelmisel kuul, ei rikkunud häkkerid ettevõtte sisesüsteeme. Selle asemel said nad mandaadi täitmisega juurdepääsu umbes 14,000 XNUMX kontole ja said seejärel saidi valikulise DNA sugulaste jagamisfunktsiooni kaudu ligi veel ligi seitsme miljoni andmetele.
Argument tõstatab kohtute ja ka laiema küberjulgeolekutööstuse jaoks olulise küsimuse: kui suur osa vastutusest lasub kasutajal võrreldes teenusepakkujaga, kui mandaat täidetakse?
"Igaüks peaks teadma paremini, kui kasutada ebahügieenilist volikirja," ütleb Steve Moore, Exabeami asepresident ja turvastrateeg. "Kuid samal ajal peaks teenust pakkuval organisatsioonil olema võimalused selle riski piiramiseks."
23andMe põhjendus
23andMe kohtusse kaevanud kasutajarühm väidab, et ettevõte rikkus California privaatsusõiguste seadust (CPRA), California meditsiinilise teabe konfidentsiaalsuse seadust (CMIA) ja Illinoisi geneetilise teabe privaatsuse seadust (GIPA) ning pani toime mitmeid muid tavaõiguse rikkumisi. .
Ettevõtte advokaadid selgitasid esimese punktina, et "kasutajad töötlesid hooletult oma paroole ja ei suutnud uuendada" pärast eelnevaid nende sisselogimisi mõjutanud intsidente, "mis ei ole 23andMe-ga seotud. Seetõttu ei olnud juhtum tingitud 23andMe väidetavast suutmatusest säilitada CPRA alusel mõistlikke turvameetmeid. Sarnane loogika kehtib ka GIPA kohta, kuigi nad lisasid, et "23andMe ei usu, et siin kehtivad Illinoisi seadused."
23andMe pole ilmtingimata sellele vastanud kõik selle kõrged turvalubadused. Seda arvestades olid klientidele saadaval konto turvafunktsioonid, mis võisid takistada mandaadi täitmist, sealhulgas kaheastmeline kinnitamine autentimisrakendusega. Ja järgides ettevõtte oma esialgne avastus ja avalik teade, rakendas see mitmeid standardseid turvaparandusi, sealhulgas teavitas õiguskaitseorganit, lõpetas kõik aktiivsed kasutajaseansid ja nõudis kõigilt kasutajatelt oma paroolide lähtestamist.
"Sama oluline on see, et teavet, millele potentsiaalselt juurde pääseti, ei saa kasutada kahju tekitamiseks," kirjutasid advokaadid. "Profiiliteave, millele võis juurde pääseda, on seotud DNA sugulaste funktsiooniga, mille klient loob ja otsustab 23andMe platvormil teiste kasutajatega jagada," ja "teavet, mida volitamata osaleja potentsiaalselt hagejate kohta hankis, ei saanud kasutada põhjustada rahalist kahju (see ei sisaldanud nende sotsiaalkindlustuse numbrit, juhiloa numbrit ega mis tahes makse- ega finantsteavet).
. varastatud andmete olemus Samuti hinnatakse alla CMIA-d, selgitatakse kirjas, kuna see "ei kujutanud endast" meditsiinilist teavet", kuigi see oli individuaalselt tuvastatav).
Kes vastutab, kui volikirjad lekivad?
23andMe kontod ei ole ainulaadselt ebaturvalised. "Igal organisatsioonil, millele võite mõelda, on kliendiportaal, olenemata sellest, kas nad tahavad seda tunnistada või mitte, on see probleem, kuid mitte alati sellises mahus," ütleb Moore.
Seega kerkib esile laiem ja sügavam probleem. Iga korduvkasutatud parooli võib selle kasutaja süüdistada, kuid teades, et see on nii endeemiline kogu veebis, kas osa vastutust kontode kaitsmise eest langeb siis teenusepakkujal?
"Ma arvan, et vastutus on jagatud. Ja see pole lõbus vastus," tunnistab Moore.
Ühest küljest on kasutajatel a parimate tavade pesuloend nad saavad loota, et konto ülevõtmine pole võimatu, kuid vähemalt väga raske.
Samal ajal juhib Moore tähelepanu sellele, et ettevõtted peavad oma klientide kaitsmiseks rakendama oma jõudu paljude nende käsutuses olevate tööriistadega. Lisaks mitmefaktorilise autentimise pakkumisele (või nõudmisele) saavad saidid jõustada tugevaid paroolikünniseid ja teavitada kasutajaid, kui sisselogimised toimuvad ebatavalistest kohtadest või ebatavalistest sagedustest. "Siis juriidilisest vaatenurgast: mida teie teenusetingimused ja vastuvõetava kasutamise eeskirjad ütlevad? Kui kasutaja nõustub lepinguga, siis millega ta nõustub, et tema hügieen on? ta küsib.
"Ma arvan, et selle kohta peaks olema kliendi õiguste deklaratsioon, mis ütleb, et kui te haldate tundlikku isiklikku teavet, peavad kliendiportaalid pakkuma võimalust kontrollida tugevaid mandaate, teadaolevate rikkumiste kontrollimise viisi ja viisi, kuidas kontrollida. teil on adaptiivne või mitmefaktoriline autentimine, mis ei kasuta ekslikke vahendeid, nagu SMS. Siis saame öelda: see on miinimumnõue,” ütleb ta.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :on
- :on
- :mitte
- $ UP
- 000
- 14
- a
- MEIST
- vastuvõetav
- Nõustub
- juurdepääs
- pääses
- konto
- konto ülevõtmine
- Kontod
- üle
- tegu
- aktiivne
- adaptiivne
- lisatud
- tunnistama
- mõjutades
- vastu
- Kokkulepe
- Materjal: BPA ja flataatide vaba plastik
- väidetavalt
- Ka
- alati
- an
- ja
- vastus
- mistahes
- app
- kehtib
- OLEME
- Väidab
- argument
- AS
- At
- Autentimine
- saadaval
- BE
- olnud
- Uskuma
- BEST
- Parem
- Peale
- arve
- biotehnoloogia
- biotehnoloogia ettevõte
- rikkumine
- rikkumisi
- laiem
- kuid
- by
- California
- CAN
- ei saa
- võimeid
- juhul
- Põhjus
- kontrollima
- juht
- toime pandud
- ühine
- Ettevõtted
- ettevõte
- konfidentsiaalsus
- moodustama
- võiks
- Kohtud
- loob
- MANDAAT
- mandaadi täitmine
- volikiri
- klient
- Kliendid
- Küberturvalisus
- andmed
- sügavam
- DID
- ei teinud
- raske
- soodustust
- avastus
- kõrvaldamine
- dna
- do
- ei
- ei
- juht
- jõustada
- jõustamine
- Võrdselt
- Eeter (ETH)
- Isegi
- igaüks
- selgitas
- Selgitab
- avatud
- Ebaõnnestunud
- ebaedu
- Langema
- tunnusjoon
- FUNKTSIOONID
- finants-
- finantsinfo
- esimene
- Järel
- eest
- Alates
- lõbu
- geneetiline
- saama
- läheb
- Grupp
- häkkerid
- käsi
- kahju
- Olema
- he
- siin
- HTTPS
- i
- if
- Illinois
- rakendatud
- oluline
- võimatu
- juhtum
- intsidentide
- sisaldama
- Kaasa arvatud
- Üksikult
- tööstus
- info
- ebakindel
- selle asemel
- sisemine
- probleem
- IT
- ITS
- jpg
- lihtsalt
- Teadma
- Teades
- teatud
- viimane
- Seadus
- õiguskaitse
- Menetluses
- advokaadid
- lekkima
- kõige vähem
- Õigus
- kiri
- vastutus
- litsents
- peitub
- nagu
- LIMIT
- nimekiri
- ülev
- loogika
- sisselogimine
- säilitada
- tegema
- juhtiv
- palju
- mai..
- vahendid
- meetmed
- meditsiini-
- võib
- miljon
- miljonid
- miinimum
- rohkem
- mitme faktori autentimine
- peab
- peaaegu
- tingimata
- Vajadus
- Märka..
- teatades
- number
- saadud
- esineda
- of
- pakkuma
- pakkumine
- on
- ONE
- rünnak
- or
- organisatsioon
- Muu
- välja
- enda
- Parool
- paroolid
- makse
- isiklik
- Kohad
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- Punkt
- võrra
- poliitika
- Portal
- potentsiaalselt
- võim
- tava
- president
- ära hoida
- Eelnev
- privaatsus
- Probleem
- profiil
- kaitsma
- kaitsta
- anda
- tarnija
- annab
- avalik
- küsimus
- tõstab
- RE
- mõistlik
- andmed
- ringlusse
- seotud
- sugulased
- lootma
- esindavad
- nõue
- vastutus
- vastutav
- kaasa
- õigusi
- Oht
- s
- Ütlesin
- sama
- ütlema
- ütleb
- Skaala
- turvalisus
- Turvameetmed
- tundlik
- Saadetud
- Seeria
- teenus
- Teenuseosutaja
- istungid
- seitse
- Jaga
- jagatud
- jagamine
- peaks
- sarnane
- site
- Saidid
- SMS
- sotsiaalmeedia
- mõned
- standard
- seisukohast
- Steve
- varastatud
- Strateeg
- tugev
- täidis
- kindel
- süsteemid
- T
- ülevõtmine
- TechCrunch
- tingimused
- Teenuse Tingimused
- kui
- et
- .
- teave
- oma
- SIIS
- Seal.
- seetõttu
- nad
- mõtlema
- see
- kuigi?
- Läbi
- aeg
- et
- töövahendid
- volitamata
- all
- ainulaadselt
- ebatavaline
- Värskendused
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- Kontrollimine
- Versus
- väga
- pahe
- Asepresident
- rikutud
- Rikkumised
- tahan
- oli
- Tee..
- we
- Hästi
- olid
- M
- mis iganes
- millal
- kas
- mis
- koos
- kirjutas
- sa
- Sinu
- sephyrnet