Face à une vague de poursuites, 23andMe nie toute responsabilité dans la fuite des dossiers génétiques de millions d’utilisateurs l’automne dernier.
In une lettre envoyée à un groupe d'utilisateurs En poursuivant la société, obtenue par TechCrunch, les avocats représentant la société de biotechnologie ont présenté un dossier selon lequel les utilisateurs étaient responsables de toutes les données qui auraient pu être exposées.
De même que révélé le mois dernier, les pirates n’ont pas violé les systèmes internes de l’entreprise. Au lieu de cela, ils ont obtenu l’accès à environ 14,000 XNUMX comptes en utilisant le credential stuffing, puis ont accédé aux données de près de sept millions d’autres via la fonction facultative de partage DNA Relatives du site.
Cet argument soulève une question importante pour les tribunaux, ainsi que pour l’ensemble du secteur de la cybersécurité : quelle part de responsabilité incombe à l’utilisateur, par rapport au fournisseur de services, lorsque les informations d’identification sont falsifiées ?
« Tout le monde devrait savoir qu'il ne faut pas utiliser un identifiant peu hygiénique », déclare Steve Moore, vice-président et stratège en chef de la sécurité chez Exabeam. "Mais en même temps, l'organisation qui fournit le service doit avoir les capacités nécessaires pour limiter ce risque."
La justification de 23andMe
Le groupe d'utilisateurs poursuivant 23andMe affirme que la société a violé la loi californienne sur les droits à la vie privée (CPRA), la loi californienne sur la confidentialité des informations médicales (CMIA) et la loi Illinois sur la confidentialité des informations génétiques (GIPA), et a commis un certain nombre d'autres violations de droit commun. .
Sur le premier point, expliquent les avocats de l’entreprise, « les utilisateurs ont recyclé par négligence et n’ont pas mis à jour leurs mots de passe » à la suite d’incidents antérieurs affectant leurs identifiants, « qui n’ont aucun rapport avec 23andMe ». Par conséquent, l’incident n’était pas le résultat du prétendu manquement de 23andMe à maintenir des mesures de sécurité raisonnables en vertu de la CPRA. Une logique similaire s’applique à GIPA, bien qu’ils ajoutent que « 23andMe ne croit pas que la loi de l’Illinois s’applique ici ».
23andMe n’a pas forcément été à la hauteur toutes ses nobles promesses de sécurité. Cela dit, des fonctionnalités de sécurité de compte étaient disponibles pour les clients qui auraient pu empêcher le bourrage d'informations d'identification, notamment une vérification en deux étapes avec une application d'authentification. Et, suivant les recommandations de l'entreprise découverte initiale et avis public, il a mis en œuvre une série de mesures correctives de sécurité standard, notamment en informant les forces de l'ordre, en mettant fin à toutes les sessions utilisateur actives et en exigeant que tous les utilisateurs réinitialisent leur mot de passe.
« Tout aussi important, les informations potentiellement consultées ne peuvent être utilisées à des fins préjudiciables », ont écrit les avocats. "Les informations de profil qui ont pu être consultées concernaient la fonctionnalité DNA Relatives, qu'un client crée et choisit de partager avec d'autres utilisateurs sur la plate-forme 23andMe", et "les informations que l'acteur non autorisé a potentiellement obtenues sur les plaignants n'auraient pas pu être utilisées pour causer un préjudice matériel (cela n'incluait pas leur numéro de sécurité sociale, leur numéro de permis de conduire, ni aucun paiement ou information financière).
Les nature des données volées écarte également le CMIA, explique la lettre, car il « ne constitue pas des « informations médicales » même si elles étaient individuellement identifiables).
Qui est responsable en cas de fuite d’informations d’identification ?
Les comptes 23andMe ne sont pas uniquement sécurisés. « Toute organisation à laquelle vous pouvez penser qui dispose d'un portail client, qu'elle le veuille ou non, est confrontée à ce problème, mais pas toujours à cette échelle », explique Moore.
Une question plus vaste et plus profonde se pose alors. Tout mot de passe réutilisé peut être imputé à son utilisateur, mais sachant que cette pratique est endémique sur le Web, une partie de la responsabilité de la protection des comptes incombe-t-elle alors au fournisseur de services ?
« La responsabilité, je pense, est partagée. Et ce n’est pas une réponse amusante », admet Moore.
D'une part, les utilisateurs disposent d'un longue liste de bonnes pratiques sur lesquels ils peuvent compter pour rendre le rachat de compte non pas impossible, mais au moins très difficile.
Dans le même temps, souligne Moore, les entreprises doivent exercer leur propre pouvoir pour protéger leurs clients, avec les nombreux outils dont elles disposent. En plus d'offrir (ou d'exiger) une authentification multifacteur, les sites peuvent imposer des seuils de mot de passe stricts et avertir les utilisateurs lorsque les connexions se produisent à partir d'endroits inhabituels ou à des fréquences inhabituelles. « Ensuite, d’un point de vue juridique : que disent vos conditions de service et votre politique d’utilisation acceptable ? Lorsqu’un utilisateur accepte un accord, que pense-t-il de son hygiène ? » il demande.
« Je pense qu'il devrait y avoir une déclaration des droits des clients à ce sujet qui stipule que si vous gérez des informations personnelles sensibles, les portails clients doivent offrir un moyen de vérifier les informations d'identification solides, un moyen de vérifier les violations connues et un moyen de s'assurer. vous disposez d'une authentification adaptative ou multifacteur qui n'utilise pas de moyens faillibles comme les SMS. Alors on peut dire : c’est le minimum requis », dit-il.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :possède
- :est
- :ne pas
- $UP
- 000
- 14
- a
- Qui sommes-nous
- acceptable
- Accepte
- accès
- accédé
- Compte
- reprise de compte
- hybrides
- à travers
- Agis
- infection
- adaptatif
- ajoutée
- admettre
- affectant
- à opposer à
- contrat
- Tous
- allégué
- aussi
- toujours
- an
- ainsi que le
- répondre
- tous
- appli
- s'applique
- SONT
- Arguments
- argument
- AS
- At
- Authentification
- disponibles
- BE
- était
- CROYONS
- LES MEILLEURS
- Améliorée
- Au-delà
- Projet de loi
- biotech
- entreprise de biotechnologie
- violation
- infractions
- plus large
- mais
- by
- Californie
- CAN
- ne peut pas
- capacités
- maisons
- Causes
- vérifier
- chef
- engagé
- Commun
- Sociétés
- Société
- confidentialité
- constituer
- pourriez
- Cours
- crée des
- CRÉDENTIEL
- bourrage d'informations d'identification
- Lettres de créance
- des clients
- Clients
- Cybersécurité
- données
- profond
- DID
- didn
- difficile
- remises
- découverte
- disposition
- adn
- do
- doesn
- driver
- imposer
- mise en vigueur
- également
- Ether (ETH)
- Pourtant, la
- tout le monde
- expliqué
- Explique
- exposé
- Échoué
- Échec
- Automne
- Fonctionnalité
- Fonctionnalités:
- la traduction de documents financiers
- l'information financière
- Prénom
- Abonnement
- Pour
- De
- amusement
- génétique
- obtenez
- aller
- Réservation de groupe
- les pirates
- main
- nuire
- Vous avez
- he
- ici
- HTTPS
- i
- if
- Illinois
- mis en œuvre
- important
- impossible
- incident
- incidents
- comprendre
- Y compris
- Individuellement
- industrie
- d'information
- peu sûr
- plutôt ;
- interne
- aide
- IT
- SES
- jpg
- juste
- Savoir
- connaissance
- connu
- Nom de famille
- Droit applicable et juridiction compétente
- application de la loi
- Poursuites
- Les avocats.
- fuite
- au
- Légal
- lettre
- responsabilité
- Licence
- se trouve
- comme
- LIMIT
- Liste
- élevé
- logique
- connexions
- maintenir
- a prendre une
- les gérer
- de nombreuses
- Mai..
- veux dire
- les mesures
- médical
- pourrait
- million
- des millions
- minimum
- PLUS
- authentification multi-facteurs
- must
- presque
- nécessairement
- Besoin
- Remarquer..
- notification
- nombre
- obtenu
- se produire
- of
- code
- offrant
- on
- ONE
- assaut
- or
- organisation
- Autre
- ande
- propre
- Mot de Passe
- mots de passe
- Paiement
- personnel
- Des endroits
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- des notes bonus
- politique
- Portail
- l'éventualité
- power
- pratique
- président
- empêché
- Avant
- la confidentialité
- Problème
- Profil
- protéger
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- fournir
- de voiture.
- fournit
- public
- question
- soulève
- RE
- raisonnable
- Articles
- recyclé
- en relation
- famille
- compter
- représentation
- exigence
- responsabilité
- responsables
- résultat
- droits
- Analyse
- s
- Saïd
- même
- dire
- dit
- Escaliers intérieurs
- sécurité
- Mesures de sécurité
- sensible
- envoyé
- Série
- service
- Prestataire de services
- brainstorming
- sept
- Partager
- commun
- partage
- devrait
- similaires
- site
- Sites
- SMS
- Réseaux sociaux
- quelques
- Standard
- point de vue
- Steve
- volé
- Stratège
- STRONG
- rembourrage
- sûr
- Système
- T
- prise de contrôle
- TechCrunch
- conditions
- conditions de service
- que
- qui
- Les
- les informations
- leur
- puis
- Là.
- donc
- l'ont
- penser
- this
- bien que?
- Avec
- fiable
- à
- les outils
- non autorisé
- sous
- uniquement
- inhabituel
- Mises à jour
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- Vérification
- Versus
- très
- vice
- Vice-président
- violé
- Violations
- souhaitez
- était
- Façon..
- we
- WELL
- ont été
- Quoi
- quelle que soit
- quand
- que
- qui
- comprenant
- écrit
- you
- Votre
- zéphyrnet