मुकदमों के हमले के बावजूद, 23andMe पिछली बार लीक हुए लाखों उपयोगकर्ताओं के आनुवंशिक रिकॉर्ड के लिए उत्तरदायित्व से इनकार कर रहा है।
In उपयोगकर्ताओं के एक समूह को भेजा गया एक पत्र टेकक्रंच द्वारा प्राप्त कंपनी पर मुकदमा करते हुए, बायोटेक कंपनी का प्रतिनिधित्व करने वाले वकीलों ने एक मामला पेश किया कि जो भी डेटा उजागर हुआ है उसके लिए उपयोगकर्ता दोषी हैं।
जैसा था पिछले महीने सामने आया, हैकर्स ने कंपनी के आंतरिक सिस्टम में सेंध नहीं लगाई। इसके बजाय, उन्होंने क्रेडेंशियल स्टफिंग का उपयोग करके लगभग 14,000 खातों तक पहुंच प्राप्त की, फिर साइट के वैकल्पिक डीएनए रिलेटिव्स शेयरिंग फीचर के माध्यम से लगभग सात मिलियन से अधिक खातों तक पहुंच प्राप्त की।
यह तर्क अदालतों के साथ-साथ व्यापक साइबर सुरक्षा उद्योग के लिए एक महत्वपूर्ण प्रश्न उठाता है: जब क्रेडेंशियल्स भरे जाते हैं, तो सेवा प्रदाता बनाम उपयोगकर्ता की कितनी जिम्मेदारी होती है?
एक्साबीम के उपाध्यक्ष और मुख्य सुरक्षा रणनीतिकार स्टीव मूर कहते हैं, "हर किसी को अस्वच्छ क्रेडेंशियल का उपयोग करने से बेहतर पता होना चाहिए।" "लेकिन साथ ही, सेवा प्रदान करने वाले संगठन में इसके जोखिम को सीमित करने की क्षमता होनी चाहिए।"
23andMe का तर्क
23andMe पर मुकदमा करने वाले उपयोगकर्ता समूह का तर्क है कि कंपनी ने कैलिफ़ोर्निया गोपनीयता अधिकार अधिनियम (सीपीआरए), कैलिफ़ोर्निया गोपनीयता गोपनीयता अधिनियम (सीएमआईए), और इलिनोइस जेनेटिक सूचना गोपनीयता अधिनियम (जीआईपीए) का उल्लंघन किया है, और कई अन्य सामान्य कानून उल्लंघन किए हैं। .
पहले बिंदु पर, कंपनी के वकीलों ने समझाया, "उपयोगकर्ताओं ने अपने लॉगिन को प्रभावित करने वाली पिछली घटनाओं के बाद लापरवाही से अपने पासवर्ड को रीसायकल किया और अपडेट करने में विफल रहे", जो 23andMe से असंबंधित हैं। इसलिए, यह घटना CPRA के तहत उचित सुरक्षा उपायों को बनाए रखने में 23andMe की कथित विफलता का परिणाम नहीं थी। इसी तरह का तर्क जीआईपीए पर भी लागू होता है, हालांकि उन्होंने कहा कि "23andMe का मानना नहीं है कि इलिनोइस कानून यहां लागू होता है।"
जरूरी नहीं कि 23andMe इस पर खरा उतरा हो इसके सभी ऊंचे सुरक्षा वादे. जैसा कि कहा गया है, ग्राहकों के लिए खाता सुरक्षा सुविधाएँ उपलब्ध थीं जो प्रमाणिकता ऐप के साथ दो-चरणीय सत्यापन सहित क्रेडेंशियल स्टफिंग को रोक सकती थीं। और, कंपनी का अनुसरण कर रहे हैं प्रारंभिक खोज और सार्वजनिक सूचना, इसने मानक सुरक्षा सुधारों की एक श्रृंखला लागू की, जिसमें कानून प्रवर्तन को सूचित करना, सभी सक्रिय उपयोगकर्ता सत्रों को समाप्त करना और सभी उपयोगकर्ताओं को अपने पासवर्ड रीसेट करने की आवश्यकता शामिल है।
वकीलों ने लिखा, "समान रूप से महत्वपूर्ण, जो जानकारी संभावित रूप से एक्सेस की गई थी उसका उपयोग किसी भी नुकसान के लिए नहीं किया जा सकता है।" "प्रोफ़ाइल जानकारी जो डीएनए रिलेटिव्स सुविधा से संबंधित हो सकती है, जिसे ग्राहक बनाता है और 23andMe के प्लेटफ़ॉर्म पर अन्य उपयोगकर्ताओं के साथ साझा करना चुनता है," और "अनधिकृत अभिनेता द्वारा वादी के बारे में संभावित रूप से प्राप्त की गई जानकारी का उपयोग नहीं किया जा सकता था" आर्थिक क्षति पहुँचाएँ (इसमें उनका सामाजिक सुरक्षा नंबर, ड्राइवर का लाइसेंस नंबर, या कोई भुगतान या वित्तीय जानकारी शामिल नहीं है)।''
RSI चुराए गए डेटा की प्रकृति पत्र में बताया गया है कि सीएमआईए को भी छूट दी गई है, क्योंकि यह "व्यक्तिगत रूप से पहचाने जाने योग्य होने के बावजूद 'चिकित्सा जानकारी' का गठन नहीं करता है।"
क्रेडेंशियल लीक होने पर कौन जिम्मेदार है?
23andMe खाते विशिष्ट रूप से असुरक्षित नहीं हैं। मूर कहते हैं, "आप जिस भी संगठन के बारे में सोच सकते हैं, उसके पास एक ग्राहक पोर्टल है, चाहे वे इसे स्वीकार करना चाहें या नहीं, उसमें यह समस्या है, हमेशा इस पैमाने पर नहीं।"
इस प्रकार एक व्यापक, गहरा मुद्दा उठता है। किसी भी पुन: उपयोग किए गए पासवर्ड का दोष उसके उपयोगकर्ता पर डाला जा सकता है, लेकिन, यह जानते हुए भी कि यह प्रथा है संपूर्ण वेब पर स्थानिक, तो क्या खातों की सुरक्षा की कुछ ज़िम्मेदारी सेवा प्रदाता पर आती है?
“मुझे लगता है कि दायित्व साझा किया जाता है। और यह कोई मज़ेदार उत्तर नहीं है,'' मूर मानते हैं।
एक ओर, उपयोगकर्ताओं के पास एक सर्वोत्तम प्रथाओं की लॉन्ड्री सूची वे खाता अधिग्रहण को असंभव नहीं, लेकिन कम से कम बहुत कठिन बनाने पर भरोसा कर सकते हैं।
साथ ही, मूर बताते हैं, कंपनियों को अपने ग्राहकों की सुरक्षा के लिए अपने पास मौजूद कई उपकरणों के साथ अपनी शक्ति का प्रयोग करने की आवश्यकता है। बहु-कारक प्रमाणीकरण की पेशकश (या आवश्यकता) के अलावा, साइटें मजबूत पासवर्ड सीमाएँ लागू कर सकती हैं, और असामान्य स्थानों या असामान्य आवृत्तियों पर लॉगिन होने पर उपयोगकर्ताओं को नोटिस प्रदान कर सकती हैं। “फिर कानूनी दृष्टिकोण से: आपकी सेवा की शर्तें और स्वीकार्य उपयोग नीति क्या कहती है? जब कोई उपयोगकर्ता किसी समझौते को स्वीकार करता है, तो वे किस बात से सहमत होते हैं कि उनकी स्वच्छता क्या होगी?” वह पूछता है।
"मुझे लगता है कि इस पर ग्राहक के अधिकारों का बिल होना चाहिए जो कहता है कि यदि आप संवेदनशील व्यक्तिगत जानकारी का प्रबंधन कर रहे हैं, तो ग्राहक पोर्टल को मजबूत क्रेडेंशियल्स की जांच करने का एक तरीका, ज्ञात उल्लंघनों के खिलाफ जांच करने का एक तरीका और यह सुनिश्चित करने का एक तरीका प्रदान करना चाहिए आपके पास अनुकूली प्रमाणीकरण या बहु-कारक है जो एसएमएस जैसे गलत साधनों का उपयोग नहीं करता है। तब हम कह सकते हैं: यह न्यूनतम आवश्यकता है,'' वह कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :हैस
- :है
- :नहीं
- $यूपी
- 000
- 14
- a
- About
- स्वीकार्य
- स्वीकार करता है
- पहुँच
- पहुँचा
- लेखा
- खाता अधिग्रहण
- अकौन्टस(लेखा)
- के पार
- अधिनियम
- सक्रिय
- अनुकूली
- जोड़ा
- स्वीकार करना
- प्रभावित करने वाले
- के खिलाफ
- समझौता
- सब
- ने आरोप लगाया
- भी
- हमेशा
- an
- और
- जवाब
- कोई
- अनुप्रयोग
- लागू होता है
- हैं
- तर्क
- तर्क
- AS
- At
- प्रमाणीकरण
- उपलब्ध
- BE
- किया गया
- मानना
- BEST
- बेहतर
- परे
- बिल
- बायोटेक
- बायोटेक कंपनी
- भंग
- उल्लंघनों
- व्यापक
- लेकिन
- by
- कैलिफ़ोर्निया
- कर सकते हैं
- नही सकता
- क्षमताओं
- मामला
- कारण
- चेक
- प्रमुख
- प्रतिबद्ध
- सामान्य
- कंपनियों
- कंपनी
- गोपनीयता
- का गठन
- सका
- अदालतों
- बनाता है
- क्रेडेंशियल
- साख भराई
- साख
- ग्राहक
- ग्राहक
- साइबर सुरक्षा
- तिथि
- और गहरा
- डीआईडी
- नहीं था
- मुश्किल
- छूट
- खोज
- निपटान
- श्रीमती
- do
- कर देता है
- नहीं करता है
- ड्राइवर
- लागू करना
- प्रवर्तन
- समान रूप से
- ईथर (ईटीएच)
- और भी
- हर कोई
- समझाया
- बताते हैं
- उजागर
- विफल रहे
- विफलता
- गिरना
- Feature
- विशेषताएं
- वित्तीय
- वित्तीय जानकारी
- प्रथम
- निम्नलिखित
- के लिए
- से
- मज़ा
- आनुवंशिक
- मिल
- जा
- समूह
- हैकर्स
- हाथ
- नुकसान
- है
- he
- यहाँ उत्पन्न करें
- HTTPS
- i
- if
- इलेनॉइस
- कार्यान्वित
- महत्वपूर्ण
- असंभव
- घटना
- घटनाएं
- शामिल
- सहित
- व्यक्तिगत रूप से
- उद्योग
- करें-
- असुरक्षित
- बजाय
- आंतरिक
- मुद्दा
- IT
- आईटी इस
- जेपीजी
- केवल
- जानना
- ज्ञान
- जानने वाला
- पिछली बार
- कानून
- कानून प्रवर्तन
- मुकदमों
- वकीलों
- रिसाव
- कम से कम
- कानूनी
- पत्र
- दायित्व
- लाइसेंस
- झूठ
- पसंद
- सीमा
- सूची
- बुलंद
- तर्क
- लॉगिन
- बनाए रखना
- बनाना
- प्रबंध
- बहुत
- मई..
- साधन
- उपायों
- मेडिकल
- हो सकता है
- दस लाख
- लाखों
- न्यूनतम
- अधिक
- बहु-कारक प्रमाणीकरण
- चाहिए
- लगभग
- अनिवार्य रूप से
- आवश्यकता
- सूचना..
- अधिसूचित
- संख्या
- प्राप्त
- होते हैं
- of
- प्रस्ताव
- की पेशकश
- on
- ONE
- हमला
- or
- संगठन
- अन्य
- आउट
- अपना
- पासवर्ड
- पासवर्ड
- भुगतान
- स्टाफ़
- गंतव्य
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- अंक
- नीति
- द्वार
- संभावित
- बिजली
- अभ्यास
- अध्यक्ष
- रोका
- पूर्व
- एकांत
- मुसीबत
- प्रोफाइल
- रक्षा करना
- संरक्षण
- प्रदान करना
- प्रदाता
- प्रदान करता है
- सार्वजनिक
- प्रश्न
- उठाता
- RE
- उचित
- अभिलेख
- पुनर्नवीनीकरण
- सम्बंधित
- रिश्तेदारों
- भरोसा करना
- का प्रतिनिधित्व
- आवश्यकता
- जिम्मेदारी
- जिम्मेदार
- परिणाम
- अधिकार
- जोखिम
- s
- कहा
- वही
- कहना
- कहते हैं
- स्केल
- सुरक्षा
- सुरक्षा उपाय
- संवेदनशील
- भेजा
- कई
- सेवा
- सेवा प्रदाता
- सत्र
- सात
- Share
- साझा
- बांटने
- चाहिए
- समान
- साइट
- साइटें
- एसएमएस
- सोशल मीडिया
- कुछ
- मानक
- दृष्टिकोण
- स्टीव
- चुराया
- रणनीतिज्ञ
- मजबूत
- भराई
- निश्चित
- सिस्टम
- T
- अधिग्रहण
- TechCrunch
- शर्तों
- सेवा की शर्तें
- से
- कि
- RSI
- जानकारी
- लेकिन हाल ही
- फिर
- वहाँ।
- इसलिये
- वे
- सोचना
- इसका
- हालांकि?
- यहाँ
- पहर
- सेवा मेरे
- उपकरण
- अनधिकृत
- के अंतर्गत
- विशिष्ट
- असामान्य
- अपडेट
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- सत्यापन
- बनाम
- बहुत
- उपाध्यक्ष
- वाइस राष्ट्रपति
- उल्लंघन
- उल्लंघन
- करना चाहते हैं
- था
- मार्ग..
- we
- कुंआ
- थे
- क्या
- जो कुछ
- कब
- या
- कौन कौन से
- साथ में
- लिखा था
- इसलिए आप
- आपका
- जेफिरनेट