در برابر هجوم پرونده های قضایی، 23andMe مسئولیت لو رفتن سوابق ژنتیکی میلیون ها کاربر در پاییز گذشته را انکار می کند.
In نامه ای برای گروهی از کاربران ارسال شده است با شکایت از شرکتی که توسط TechCrunch به دست آمده است، وکلای نماینده این شرکت بیوتکنولوژی پرونده ای را مطرح کردند که کاربران مقصر هر داده ای هستند که ممکن است افشا شود.
همانطور که بود ماه گذشته فاش شد، هکرها سیستم های داخلی شرکت را نقض نکرده اند. در عوض، آنها با استفاده از پر کردن اعتبار به حدود 14,000 حساب دسترسی پیدا کردند، سپس به داده های نزدیک به هفت میلیون نفر دیگر از طریق ویژگی اختیاری اشتراک گذاری DNA بستگان سایت دسترسی پیدا کردند.
این بحث یک سوال مهم را برای دادگاهها و همچنین صنعت امنیت سایبری گستردهتر مطرح میکند: وقتی اعتبارنامهها پر میشوند، چه سهمی از مسئولیت بر عهده کاربر، در مقابل ارائهدهنده خدمات است؟
استیو مور، معاون رئیس جمهور و استراتژیست ارشد امنیتی در Exabeam می گوید: «همه باید بهتر از استفاده از یک گواهینامه غیربهداشتی بدانند. اما در عین حال، سازمانی که این سرویس را ارائه میکند باید قابلیتهایی برای محدود کردن خطر آن داشته باشد.
منطق 23andMe
گروه کاربری که از 23andMe شکایت می کند، استدلال می کند که این شرکت قانون حقوق حریم خصوصی کالیفرنیا (CPRA)، قانون محرمانه بودن اطلاعات پزشکی کالیفرنیا (CMIA) و قانون حفظ حریم خصوصی اطلاعات ژنتیکی ایلینوی (GIPA) را نقض کرده است، و تعدادی دیگر از قوانین رایج را نقض کرده است. .
وکلای شرکت توضیح دادند که در مورد اولین نکته، "کاربران با سهل انگاری پسوردهای خود را بازیافت کردند و نتوانستند رمز عبور خود را به روز کنند" به دنبال حوادث قبلی که بر ورود آنها تأثیر گذاشته است، "که با 23andMe ارتباطی ندارد." بنابراین، این حادثه نتیجه شکست ادعای 23andMe در حفظ اقدامات امنیتی معقول تحت CPRA نبود. منطق مشابهی در مورد GIPA اعمال می شود، اگرچه آنها اضافه کردند که "23andMe معتقد نیست که قانون ایلینویز در اینجا اعمال می شود."
23andMe لزوماً به آن عمل نکرده است تمام وعده های امنیتی عالی آن. با این اوصاف، ویژگیهای امنیتی حساب در دسترس مشتریان بود که ممکن بود از پر کردن اعتبار جلوگیری کند، از جمله تأیید دو مرحلهای با یک برنامه احراز هویت. و پیروی از شرکت کشف اولیه و اطلاع عمومی، یک سری اصلاحات امنیتی استاندارد را اجرا کرد، از جمله اطلاع رسانی به مجریان قانون، خاتمه تمام جلسات کاربر فعال، و الزام همه کاربران به بازنشانی رمزهای عبور خود.
وکلای دادگستری نوشتند: «به همان اندازه مهم، اطلاعاتی که به طور بالقوه به آنها دسترسی پیدا کرد، نمی توانند برای هیچ آسیبی مورد استفاده قرار گیرند. "اطلاعات نمایه ای که ممکن است به آنها دسترسی داشته باشد مربوط به ویژگی DNA Relatives است که یک مشتری ایجاد می کند و انتخاب می کند تا با سایر کاربران در پلت فرم 23andMe به اشتراک بگذارد" و "اطلاعاتی که بازیگر غیرمجاز به طور بالقوه در مورد شاکیان به دست آورده است نمی تواند برای استفاده از آنها استفاده شود. باعث ایجاد خسارت مادی (شامل شماره بیمه اجتماعی، شماره گواهینامه رانندگی، یا هرگونه اطلاعات پرداختی یا مالی نمی شود).
La ماهیت داده های سرقت شده نامه توضیح میدهد که CMIA را نیز تخفیف میدهد، زیرا «اطلاعات پزشکی را تشکیل نمیدهد، حتی اگر بهصورت جداگانه قابل شناسایی بود).»
چه کسی در هنگام افشای اعتبارنامه ها مسئول است؟
حساب های 23andMe به طور منحصر به فردی ناامن نیستند. مور میگوید: «هر سازمانی که فکرش را بکنید دارای پورتال مشتری است، خواه بخواهد آن را بپذیرد یا نه، این مشکل را دارد، نه همیشه در این مقیاس.
بنابراین یک موضوع گسترده تر و عمیق تر مطرح می شود. هر رمز عبوری که مجدداً استفاده شده باشد را می توان به گردن کاربر آن انداخت، اما با علم به این که این عمل درست است آندمیک در سراسر وب، آیا مسئولیت محافظت از حساب ها بر عهده ارائه دهنده خدمات است؟
«فکر میکنم مسئولیت مشترک است. مور اعتراف می کند که پاسخ جالبی نیست.
از یک طرف، کاربران دارای یک لیست بهترین شیوه های لباسشویی آنها می توانند برای اینکه تصاحب حساب غیرممکن نباشد، اما حداقل بسیار دشوار است، به آنها تکیه کنند.
در عین حال، مور خاطرنشان می کند، شرکت ها باید با ابزارهای زیادی که در اختیار دارند، از قدرت خود برای محافظت از مشتریان خود استفاده کنند. علاوه بر ارائه (یا نیاز به) احراز هویت چندعاملی، سایتها میتوانند آستانههای رمز عبور قوی را اعمال کنند و زمانی که ورود به سیستم از مکانهای غیرمعمول یا در فرکانسهای غیرمعمول اتفاق میافتد، به کاربران اطلاع دهند. سپس از دیدگاه حقوقی: شرایط خدمات و خط مشی استفاده قابل قبول شما چه می گوید؟ هنگامی که یک کاربر توافق نامه ای را می پذیرد، با چه چیزی موافقت می کند که بهداشت خود را رعایت کند؟ او می پرسد.
«من فکر میکنم باید یک منشور حقوق مشتری در این مورد وجود داشته باشد که میگوید اگر اطلاعات شخصی حساسی را مدیریت میکنید، پورتالهای مشتری باید راهی برای بررسی اعتبارنامههای قوی، راهی برای بررسی نقضهای شناخته شده و راهی برای اطمینان ارائه کنند. شما دارای احراز هویت تطبیقی یا چند عاملی هستید که از ابزارهای قابل خطا مانند پیامک استفاده نمی کند. سپس میتوان گفت: این حداقل نیاز است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- : دارد
- :است
- :نه
- $UP
- 000
- 14
- a
- درباره ما
- قابل قبول
- قبول می کند
- دسترسی
- قابل دسترسی است
- حساب
- تصاحب حساب
- حساب ها
- در میان
- عمل
- فعال
- انطباقی
- اضافه
- اقرار کردن
- موثر بر
- در برابر
- توافق
- معرفی
- ادعا شده است
- همچنین
- همیشه
- an
- و
- پاسخ
- هر
- نرم افزار
- اعمال میشود
- هستند
- استدلال می کند
- استدلال
- AS
- At
- تصدیق
- در دسترس
- BE
- بوده
- باور
- بهترین
- بهتر
- خارج از
- لایحه
- زیست فناوری
- شرکت بیوتکنولوژی
- شکاف
- نقض
- گسترده تر
- اما
- by
- کالیفرنیا
- CAN
- نمی توان
- قابلیت های
- مورد
- علت
- بررسی
- رئیس
- مرتکب شده
- مشترک
- شرکت
- شرکت
- محرمانه بودن
- را تشکیل می دهند
- میتوانست
- دادگاه
- ایجاد
- اعتبار
- پر کردن گواهینامه
- مجوزها و اعتبارات
- مشتری
- مشتریان
- امنیت سایبری
- داده ها
- عمیق تر
- DID
- نشد
- مشکل
- تخفیف
- کشف
- دسترس
- DNA
- do
- میکند
- ندارد
- راننده
- اعمال
- اجرای
- به همان اندازه
- اتر (ETH)
- حتی
- هر کس
- توضیح داده شده
- توضیح می دهد
- قرار گرفتن در معرض
- ناموفق
- شکست
- سقوط
- ویژگی
- امکانات
- مالی
- اطلاعات مالی
- نام خانوادگی
- پیروی
- برای
- از جانب
- سرگرمی
- ژنتیک
- دریافت کنید
- رفتن
- گروه
- هکرها
- دست
- صدمه
- آیا
- he
- اینجا کلیک نمایید
- HTTPS
- i
- if
- ایلینوی
- اجرا
- مهم
- غیر ممکن
- حادثه
- حوادث
- شامل
- از جمله
- به طور جداگانه
- صنعت
- اطلاعات
- ناامن
- در عوض
- داخلی
- موضوع
- IT
- ITS
- JPG
- تنها
- دانستن
- دانا
- شناخته شده
- نام
- قانون
- اجرای قانون
- پرونده های حقوقی
- وکلا
- نشت
- کمترین
- قانونی
- نامه
- بدهی
- مجوز
- نهفته است
- پسندیدن
- محدود
- فهرست
- بلند
- منطق
- ورودی ها
- حفظ
- ساخت
- مدیریت
- بسیاری
- ممکن است..
- به معنی
- معیارهای
- پزشکی
- قدرت
- میلیون
- میلیون ها نفر
- حد اقل
- بیش
- احراز هویت چند عامل
- باید
- تقریبا
- لزوما
- نیاز
- اطلاع..
- اطلاع رسانی
- عدد
- به دست آمده
- رخ می دهد
- of
- ارائه
- ارائه
- on
- ONE
- تهاجم
- or
- کدام سازمان ها
- دیگر
- خارج
- خود
- کلمه عبور
- کلمه عبور
- پرداخت
- شخصی
- اماکن
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- نقطه
- سیاست
- پورتال
- بالقوه
- قدرت
- تمرین
- رئيس جمهور
- جلوگیری کرد
- قبلا
- خلوت
- مشکل
- مشخصات
- محافظت از
- حفاظت
- ارائه
- ارائه دهنده
- فراهم می کند
- عمومی
- سوال
- افزایش
- RE
- معقول
- سوابق
- بازیافت
- مربوط
- بستگان
- تکیه
- نمایندگی
- نیاز
- مسئوليت
- مسئوليت
- نتیجه
- حقوق
- خطر
- s
- سعید
- همان
- گفتن
- می گوید:
- مقیاس
- تیم امنیت لاتاری
- اقدامات امنیتی
- حساس
- فرستاده
- سلسله
- سرویس
- ارائه دهنده خدمات
- جلسات
- هفت
- اشتراک گذاری
- به اشتراک گذاشته شده
- اشتراک
- باید
- مشابه
- سایت
- سایت
- SMS
- آگاهی
- برخی از
- استاندارد
- دیدگاه
- استیو
- به سرقت رفته
- رزمارا
- قوی
- چاشنی
- مطمئن
- سیستم های
- T
- تصاحب
- TechCrunch
- قوانین و مقررات
- شرایط استفاده از خدمات
- نسبت به
- که
- La
- اطلاعات
- شان
- سپس
- آنجا.
- از این رو
- آنها
- فکر می کنم
- این
- اگر چه؟
- از طریق
- زمان
- به
- ابزار
- غیر مجاز
- زیر
- منحصر به فرد
- غیر معمول
- بروزرسانی
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- تایید
- در مقابل
- بسیار
- معاون
- معاون رئیس جمهور
- نقض
- نقض
- می خواهم
- بود
- مسیر..
- we
- خوب
- بود
- چی
- هر چه
- چه زمانی
- چه
- که
- با
- نوشت
- شما
- شما
- زفیرنت