Oikeuskanteiden hyökkäystä vastaan 23andMe kiistää vastuunsa miljoonien käyttäjien viime syksynä vuotaneista geneettisistä tiedoista.
In käyttäjäryhmälle lähetetty kirje haastaessaan TechCrunchin hankkiman yrityksen oikeuteen biotekniikkayritystä edustavat lakimiehet esittivät tapauksen, jonka mukaan käyttäjät olivat syyllisiä kaikesta mahdollisesta tiedosta.
Kuten oli paljastettiin viime kuussa, hakkerit eivät rikkoneet yrityksen sisäisiä järjestelmiä. Sen sijaan he saivat pääsyn noin 14,000 XNUMX tilille käyttämällä valtuustietojen täyttämistä, minkä jälkeen he pääsivät vielä lähes seitsemän miljoonan tilin tietoihin sivuston valinnaisen DNA Relatives -jakoominaisuuden kautta.
Argumentti herättää tärkeän kysymyksen tuomioistuimille ja laajemmalle kyberturvallisuusteollisuudelle: Mikä osuus vastuusta on käyttäjällä, verrattuna palveluntarjoajaan, kun valtuustiedot täyttyvät?
"Jokaisen pitäisi tietää paremmin kuin käyttää epähygieenistä valtakirjaa", sanoo Steve Moore, Exabeamin varapresidentti ja turvallisuusstrategi. "Mutta samalla palvelun tarjoavalla organisaatiolla pitäisi olla valmiudet rajoittaa sen riskiä."
23andMen perustelut
23andMe:tä oikeuteen haastanut käyttäjäryhmä väittää, että yritys rikkoi Kalifornian tietosuojalakia (CPRA), Kalifornian lääketieteellisten tietojen luottamuksellisuutta koskevaa lakia (CMIA) ja Illinois Genetic Information Privacy Act -lakia (GIPA) ja syyllistyi useisiin muihin yleisen lain rikkomuksiin. .
Ensinnäkin yrityksen asianajajat selittivät, että "käyttäjät kierrättivät huolimattomasti salasanojaan eivätkä päivittäneet salasanojaan" heidän kirjautumisinsa vaikuttaneiden aiempien tapausten jälkeen, "jotka eivät liity 23andMeen. Näin ollen tapaus ei johtunut 23andMen väitetystä laiminlyönnistä noudattaa kohtuullisia turvatoimia CPRA:n mukaisesti. Samanlainen logiikka pätee GIPA:han, vaikka he lisäsivät, että "23andMe ei usko, että Illinoisin laki pätee tässä."
23andMe ei välttämättä ole kestänyt kaikki sen ylevät turvallisuuslupaukset. Asiakkaiden käytettävissä oli kuitenkin tilin suojausominaisuuksia, jotka ovat saattaneet estää tunnistetietojen täyttämisen, mukaan lukien kaksivaiheinen vahvistus todennussovelluksella. Ja seuraten firmaa ensimmäinen löytö ja julkinen ilmoitus, se toteutti joukon tavallisia suojauskorjauksia, mukaan lukien ilmoittaminen lainvalvontaviranomaisille, kaikkien aktiivisten käyttäjäistuntojen päättäminen ja kaikkien käyttäjien vaatiminen nollaamaan salasanansa.
"Yhtä tärkeää on, että mahdollisesti käsiksi saatua tietoa ei voida käyttää mihinkään vahinkoon", asianajajat kirjoittivat. "DNA Sukulaiset -ominaisuuteen liittyvät profiilitiedot, jotka asiakas luo ja päättää jakaa muiden käyttäjien kanssa 23andMen alustalla", ja "tietoja, joita luvaton toimija mahdollisesti sai kantajista, ei ole voitu käyttää aiheuttaa taloudellista vahinkoa (se ei sisältänyt sosiaaliturvatunnusta, ajokorttinumeroa tai mitään maksu- tai taloudellisia tietoja).
- varastettujen tietojen luonne alentaa myös CMIA:ta, kirjeessä selitetään, koska "se ei ollut "lääketieteellistä tietoa", vaikka se olisi yksilöitävissä).
Kuka on vastuussa valtuustietojen vuotamisesta?
23andMe-tilit eivät ole ainutlaatuisen turvallisia. "Millä tahansa organisaatiolla, jolla on asiakasportaali, halusivatpa ne myöntää sen tai eivät, on tämä ongelma, mutta ei aina tässä mittakaavassa", Moore sanoo.
Siten nousee esiin laajempi ja syvällisempi ongelma. Jokainen uudelleenkäytetty salasana voidaan syyttää sen käyttäjää, mutta tietäen, että käytäntö on endeeminen verkossa, kuuluuko jokin vastuu tilien suojaamisesta sitten palveluntarjoajalle?
"Vastuu mielestäni jaetaan. Ja se ei ole hauska vastaus, Moore myöntää.
Toisaalta käyttäjillä on a luettelo parhaista käytännöistä he voivat luottaa siihen, että tilien haltuunotto ei ole mahdotonta, mutta ainakin erittäin vaikeaa.
Samaan aikaan, Moore huomauttaa, yritysten on käytettävä omaa voimaaan asiakkaidensa suojelemiseksi monilla käytettävissään olevilla työkaluilla. Sen lisäksi, että sivustot tarjoavat (tai vaativat) monitekijätodennuksen, ne voivat pakottaa vahvoja salasanakynnyksiä ja ilmoittaa käyttäjille, kun kirjautuminen tapahtuu epätavallisista paikoista tai epätavallisilla taajuuksilla. "Sitten juridisesta näkökulmasta: Mitä palveluehtonne ja hyväksyttävän käytön käytäntönne sanovat? Kun käyttäjä hyväksyy sopimuksen, mitä hän suostuu hygieniaan?" hän kysyy.
"Mielestäni tässä pitäisi olla asiakkaan todistus, jossa sanotaan, että jos käsittelet arkaluonteisia henkilökohtaisia tietoja, asiakasportaalien on tarjottava tapa tarkistaa vahvat tunnistetiedot, tapa tarkistaa tunnettujen rikkomusten varalta ja tapa varmistaa, että sinulla on mukautuva todennus tai monitekijä, joka ei käytä virheellisiä keinoja, kuten tekstiviestejä. Sitten voidaan sanoa: tämä on vähimmäisvaatimus”, hän sanoo.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :on
- :On
- :ei
- $ YLÖS
- 000
- 14
- a
- Meistä
- hyväksyttävä
- hyväksyy
- pääsy
- Accessed
- Tili
- tilin haltuunotto
- Tilit
- poikki
- Toimia
- aktiivinen
- mukautuva
- lisä-
- myöntää
- vaikuttavat
- vastaan
- sopimus
- Kaikki
- väitetty
- Myös
- aina
- an
- ja
- vastaus
- Kaikki
- sovelluksen
- sovelletaan
- OVAT
- väittää
- perustelu
- AS
- At
- Authentication
- saatavissa
- BE
- ollut
- Uskoa
- PARAS
- Paremmin
- Jälkeen
- lasku
- biotekniikan
- biotekniikkayritys
- rikkominen
- rikkomisesta
- laajempaa
- mutta
- by
- Kalifornia
- CAN
- ei voi
- kyvyt
- tapaus
- Aiheuttaa
- tarkastaa
- päällikkö
- sitoutunut
- Yhteinen
- Yritykset
- yritys
- luottamuksellisuus
- muodostaa
- voisi
- Tuomioistuimet
- luo
- TOIMINTAKERTOMUS
- valtakirjan täyttö
- Valtakirja
- asiakas
- Asiakkaat
- tietoverkkojen
- tiedot
- syvempää
- DID
- ei tehnyt
- vaikea
- alennukset
- löytö
- hävittäminen
- dna
- do
- ei
- doesnt
- kuljettaja
- valvoa
- täytäntöönpano
- yhtä
- Eetteri (ETH)
- Jopa
- jokainen
- selitti
- selittää
- avoin
- Epäonnistui
- Epäonnistuminen
- Pudota
- Ominaisuus
- Ominaisuudet
- taloudellinen
- taloustiedot
- Etunimi
- jälkeen
- varten
- alkaen
- hauska
- geneettinen
- saada
- menee
- Ryhmä
- hakkerit
- käsi
- vahingoittaa
- Olla
- he
- tätä
- HTTPS
- i
- if
- Illinois
- täytäntöön
- tärkeä
- mahdoton
- tapaus
- vaaratilanteiden
- sisältää
- Mukaan lukien
- Erikseen
- teollisuus
- tiedot
- turvaton
- sen sijaan
- sisäinen
- kysymys
- IT
- SEN
- jpg
- vain
- Tietää
- tietäen
- tunnettu
- Sukunimi
- Laki
- lainvalvontaviranomaisten
- Oikeusjutut
- asianajajat
- vuotaa
- vähiten
- juridinen
- kirjain
- vastuu
- Lisenssi
- piilee
- pitää
- RAJOITA
- Lista
- ylevä
- logiikka
- kirjautumiset
- ylläpitää
- tehdä
- toimitusjohtaja
- monet
- Saattaa..
- välineet
- toimenpiteet
- lääketieteellinen
- ehkä
- miljoona
- miljoonia
- minimi
- lisää
- monitekstinen todentaminen
- täytyy
- lähes
- välttämättä
- Tarve
- Ilmoitus..
- Ilmoittamisesta
- numero
- saatu
- tapahtua
- of
- kampanja
- tarjoamalla
- on
- ONE
- hyökkäystä
- or
- organisaatio
- Muut
- ulos
- oma
- Salasana
- salasanat
- maksu
- henkilöstö
- paikat
- foorumi
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- pistettä
- politiikka
- Portal
- mahdollisesti
- teho
- harjoitusta.
- puheenjohtaja
- esti
- Aikaisempi
- yksityisyys
- Ongelma
- Profiili
- suojella
- suojella
- toimittaa
- toimittaja
- tarjoaa
- julkinen
- kysymys
- herättää
- RE
- kohtuullinen
- asiakirjat
- kierrätetty
- liittyvä
- sukulaiset
- luottaa
- edustavat
- vaatimus
- vastuu
- vastuullinen
- johtua
- oikeudet
- Riski
- s
- Said
- sama
- sanoa
- sanoo
- Asteikko
- turvallisuus
- Turvatoimet
- sensible
- lähetetty
- Sarjat
- palvelu
- Palveluntarjoaja
- istuntoja
- seitsemän
- Jaa:
- yhteinen
- jakaminen
- shouldnt
- samankaltainen
- paikka
- Sivustot
- SMS
- sosiaalinen
- jonkin verran
- standardi
- näkökulma
- Steve
- varastettu
- Strategi
- vahva
- täyte
- varma
- järjestelmät
- T
- vallata
- TechCrunch
- ehdot
- käyttöehdot
- kuin
- että
- -
- tiedot
- heidän
- sitten
- Siellä.
- siksi
- ne
- ajatella
- tätä
- vaikka?
- Kautta
- aika
- että
- työkalut
- luvaton
- varten
- ainoastaan
- epätavallinen
- Päivitykset
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttämällä
- Vahvistus
- Vastaan
- hyvin
- pahe
- Varapresidentti
- rikotaan
- rikkomukset
- haluta
- oli
- Tapa..
- we
- HYVIN
- olivat
- Mitä
- mikä tahansa
- kun
- onko
- joka
- with
- kirjoitti
- te
- Sinun
- zephyrnet