A perek rohamával szemben a 23andMe tagadja a felelősségét a felhasználók millióinak tavaly ősszel kiszivárgott genetikai adataiért.
In a felhasználók egy csoportjának küldött levél perelve a TechCrunch által megszerzett céget, a biotechnológiai céget képviselő ügyvédek olyan esetet hoztak létre, amely szerint a felhasználók hibáztathatók minden olyan adatért, amelyet esetleg nyilvánosságra hoztak.
Ahogy volt múlt hónapban derült ki, a hackerek nem sértették meg a cég belső rendszereit. Ehelyett körülbelül 14,000 XNUMX fiókhoz jutottak hozzá hitelesítő adatok kitöltésével, majd közel hétmillió további adataihoz fértek hozzá az oldal opcionális DNS-rokonok megosztási funkcióján keresztül.
Az érvelés egy fontos kérdést vet fel a bíróságok, valamint a szélesebb kiberbiztonsági ágazat számára: mekkora a felelősség része a felhasználónak, szemben a szolgáltatóval, ha a hitelesítő adatok betömődnek?
„Mindenkinek jobban kell tudnia, mint egy nem higiénikus bizonyítványt használni” – mondja Steve Moore, az Exabeam alelnöke és vezető biztonsági stratégája. "Ugyanakkor a szolgáltatást nyújtó szervezetnek képesnek kell lennie arra, hogy korlátozza ennek kockázatát."
23andMe indoklása
A 23andMe ellen pert indító felhasználói csoport azzal érvel, hogy a cég megsértette a California Privacy Rights Act (CPRA), a California Confidential of Medical Information Act (CMIA) és az Illinois Genetic Information Privacy Act (GIPA) törvényt, és számos egyéb általános törvénysértést követett el. .
Az első pontra a cég ügyvédei kifejtették: „a felhasználók gondatlanságból újrahasznosították, és elmulasztották frissíteni jelszavaikat” a bejelentkezési adataikat érintő korábbi incidensek után, amelyek „nem kapcsolódnak a 23andMe-hez. Ezért az incidens nem annak a következménye, hogy a 23andMe állítólagos nem tartotta be a CPRA ésszerű biztonsági intézkedéseket.” Hasonló logika vonatkozik a GIPA-ra is, bár hozzátették, hogy „a 23andMe nem hiszi, hogy itt az illinoisi törvények érvényesek”.
A 23andMe nem feltétlenül élt vele minden magasztos biztonsági ígérete. Ezzel együtt olyan fiókbiztonsági funkciók álltak az ügyfelek rendelkezésére, amelyek megakadályozhatták a hitelesítő adatok feltöltését, beleértve a kétlépcsős azonosítást egy hitelesítő alkalmazással. És követve a cégét első felfedezés és nyilvános értesítés, egy sor szabványos biztonsági javítást hajtott végre, beleértve a bűnüldöző szervek értesítését, az összes aktív felhasználói munkamenet leállítását és a jelszavak visszaállításának megkövetelését.
"Ugyanannyira fontos, hogy a potenciálisan hozzájutott információk nem használhatók fel semmilyen kárra" - írták az ügyvédek. „Azok a profilinformációk, amelyekhez hozzáférhettek a DNS-rokonok funkcióval kapcsolatban, amelyeket az ügyfél hoz létre, és úgy dönt, hogy megosztja más felhasználókkal a 23andMe platformján”, valamint „azok az információk, amelyeket a jogosulatlan szereplő a felperesekről esetleg megszerzett, nem lehetett felhasználni anyagi kárt okozni (nem tartalmazta a társadalombiztosítási számukat, a jogosítvány számát, vagy bármilyen fizetési vagy pénzügyi információt).
A az ellopott adatok jellege a CMIA-t is kedvezményben részesíti – magyarázza a levél, mivel „nem minősült „orvosi információnak”, annak ellenére, hogy egyénileg azonosítható volt).
Ki a felelős, ha kiszivárognak a hitelesítő adatok?
A 23andMe-fiókok nem kifejezetten biztonságosak. „Minden olyan szervezetnek, amelyre gondol, van ügyfélkapuja, akár be akarja ismerni, akár nem, megvan ez a probléma, csak nem mindig ilyen léptékű” – mondja Moore.
Így egy szélesebb, mélyebb probléma merül fel. Bármelyik újrafelhasznált jelszó hibáztatható a felhasználóján, de tudva, hogy ez a gyakorlat endemikus az interneten, akkor a fiókok védelmével kapcsolatos felelősség a szolgáltatót terheli?
„Azt hiszem, a felelősség megosztott. És ez nem egy szórakoztató válasz” – ismeri el Moore.
Egyrészt a felhasználóknak a bevált gyakorlatok mosólistája bízhatnak abban, hogy a számlaátvétel nem lehetetlen, de legalábbis nagyon nehéz.
Moore ugyanakkor rámutat, hogy a cégeknek saját erejüket kell gyakorolniuk ügyfeleik védelmében, a rendelkezésükre álló számos eszközzel. A többtényezős hitelesítés felajánlásán (vagy megkövetelésén) túl a webhelyek erős jelszóküszöböt is kikényszeríthetnek, és értesítést küldhetnek a felhasználóknak, ha szokatlan helyről vagy szokatlan gyakorisággal jelentkeznek be. „Ezután jogi szempontból: Mit mondanak az Ön szolgáltatási feltételei és az elfogadható felhasználási szabályzat? Amikor egy felhasználó elfogad egy megállapodást, miben vállalja a higiéniáját?” kérdezi.
„Úgy gondolom, hogy szükség van egy ügyfél jognyilatkozatára, amely kimondja, hogy ha Ön érzékeny személyes adatokat kezel, az ügyfélportáloknak módot kell kínálniuk az erős hitelesítő adatok ellenőrzésére, az ismert jogsértések ellenőrzésére, valamint a adaptív vagy többtényezős hitelesítéssel rendelkezik, amely nem használ olyan téves eszközöket, mint az SMS. Akkor azt mondhatjuk: ez a minimumkövetelmény” – mondja.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :van
- :is
- :nem
- $ UP
- 000
- 14
- a
- Rólunk
- elfogadható
- elfogadja
- hozzáférés
- igénybe vett
- Fiók
- számlaátvétel
- Fiókok
- át
- törvény
- aktív
- adaptív
- hozzáadott
- beismerni
- érintő
- ellen
- Megállapodás
- Minden termék
- állítólagos
- Is
- mindig
- an
- és a
- válasz
- bármilyen
- app
- alkalmazandó
- VANNAK
- azt állítja,
- érv
- AS
- At
- Hitelesítés
- elérhető
- BE
- óta
- Hisz
- BEST
- Jobb
- Túl
- Számla
- Biotech
- biotechnológiai cég
- megsértése
- megsértésének
- tágabb
- de
- by
- Kalifornia
- TUD
- nem tud
- képességek
- eset
- Okoz
- ellenőrizze
- fő
- elkötelezett
- Közös
- Companies
- vállalat
- titoktartási
- alkot
- tudott
- Bíróságok
- teremt
- HITELEZÉS
- hitelesítő adatok kitöltése
- Hitelesítő adatok
- vevő
- Ügyfelek
- Kiberbiztonság
- dátum
- mélyebb
- DID
- nem
- nehéz
- kedvezmények
- felfedezés
- ártalmatlanítása
- dna
- do
- nem
- nem
- gépkocsivezető
- érvényesíteni
- végrehajtás
- egyaránt
- Eter (ETH)
- Még
- mindenki
- magyarázható
- Elmagyarázza
- kitett
- Sikertelen
- Kudarc
- Esik
- Funkció
- Jellemzők
- pénzügyi
- pénzügyi információ
- vezetéknév
- következő
- A
- ból ből
- móka
- genetikai
- kap
- megy
- Csoport
- hackerek
- kéz
- kárt
- Legyen
- he
- itt
- HTTPS
- i
- if
- Illinois
- végre
- fontos
- lehetetlen
- incidens
- események
- tartalmaz
- Beleértve
- Egyénileg
- ipar
- információ
- bizonytalan
- helyette
- belső
- kérdés
- IT
- ITS
- jpg
- éppen
- Ismer
- Ismerve
- ismert
- keresztnév
- Törvény
- bűnüldözési
- perek
- ügyvédek
- szivárog
- legkevésbé
- Jogi
- levél
- felelősség
- Engedély
- fekszik
- mint
- LIMIT
- Lista
- magas
- logika
- bejelentkezések
- fenntartása
- csinál
- kezelése
- sok
- Lehet..
- eszközök
- intézkedések
- orvosi
- esetleg
- millió
- Több millió
- minimum
- több
- többfaktoros hitelesítés
- kell
- közel
- szükségszerűen
- Szükség
- Értesítés..
- értesítve
- szám
- kapott
- előfordul
- of
- ajánlat
- felajánlás
- on
- ONE
- támadás
- or
- szervezet
- Más
- ki
- saját
- Jelszó
- jelszavak
- fizetés
- személyes
- Helyek
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- pont
- politika
- Portál
- potenciálisan
- hatalom
- gyakorlat
- elnök
- megakadályozták
- Előzetes
- magánélet
- Probléma
- profil
- védelme
- védelme
- ad
- ellátó
- biztosít
- nyilvános
- kérdés
- emelés
- RE
- ésszerű
- nyilvántartások
- újrahasznosított
- összefüggő
- rokonok
- támaszkodnak
- képviselő
- követelmény
- felelősség
- felelős
- eredményez
- jogok
- Kockázat
- s
- Mondott
- azonos
- azt mondják
- azt mondja,
- Skála
- biztonság
- Biztonsági intézkedések
- érzékeny
- küldött
- Series of
- szolgáltatás
- Szolgáltató
- ülések
- hét
- Megosztás
- megosztott
- megosztás
- kellene
- hasonló
- weboldal
- Webhely (ek)
- SMS
- Közösség
- néhány
- standard
- álláspont
- Steve
- lopott
- Stratéga
- erős
- töltelék
- biztos
- Systems
- T
- átvenni
- TechCrunch
- feltételek
- szolgáltatási feltételek
- mint
- hogy
- A
- az információ
- azok
- akkor
- Ott.
- ebből adódóan
- ők
- Szerintem
- ezt
- bár?
- Keresztül
- idő
- nak nek
- szerszámok
- jogtalan
- alatt
- egyedileg
- szokatlan
- Frissítések
- használ
- használt
- használó
- Felhasználók
- segítségével
- Igazolás
- Ellen
- nagyon
- vice
- Alelnök
- sérülnek
- jogsértések
- akar
- volt
- Út..
- we
- JÓL
- voltak
- Mit
- bármi
- amikor
- vajon
- ami
- val vel
- írt
- te
- A te
- zephyrnet