מול מתקפת תביעות משפטיות, 23andMe מכחישה אחריות למיליוני רשומות גנטיות של משתמשים שדלפו בסתיו שעבר.
In מכתב שנשלח לקבוצת משתמשים בתביעה נגד החברה שהושגה על ידי TechCrunch, עורכי דין המייצגים את חברת הביוטק פרסמו מקרה שהמשתמשים אשמים בכל מידע שעלול היה להיחשף.
כמו שהיה גילה בחודש שעבר, האקרים לא פרצו את המערכות הפנימיות של החברה. במקום זאת, הם השיגו גישה לכ-14,000 חשבונות באמצעות מילוי אישורים, ולאחר מכן ניגשו לנתונים מכמעט שבעה מיליון נוספים באמצעות תכונת השיתוף האופציונלית של קרובי DNA של האתר.
הטיעון מעלה שאלה חשובה לבתי המשפט, כמו גם לתעשיית אבטחת הסייבר הרחבה יותר: איזה חלק מהאחריות מוטלת על המשתמש, לעומת ספק השירות, כאשר האישורים מתמלאים?
"כולם צריכים לדעת טוב יותר מאשר להשתמש בתעודה לא היגיינית", אומר סטיב מור, סגן נשיא ואסטרטג אבטחה ראשי ב-Exabeam. "אבל במקביל, לארגון המספק את השירות אמורות להיות יכולות להגביל את הסיכון לכך".
הרציונל של 23andMe
קבוצת המשתמשים התובעת את 23andMe טוענת שהחברה הפרה את חוק זכויות הפרטיות של קליפורניה (CPRA), את חוק הסודיות של מידע רפואי בקליפורניה (CMIA), ואת חוק הפרטיות של מידע גנטי של אילינוי (GIPA), וביצעה מספר הפרות אחרות של החוק המקובל. .
לנקודה הראשונה, הסבירו עורכי הדין של החברה, "משתמשים מיחזרו ברשלנות ולא הצליחו לעדכן את הסיסמאות שלהם" בעקבות תקריות קודמות שהשפיעו על כניסותיהם, "שאינן קשורות ל-23andMe. לכן, האירוע לא היה תוצאה של כישלון לכאורה של 23andMe לשמור על אמצעי אבטחה סבירים במסגרת ה-CPRA". היגיון דומה חל על GIPA, אם כי הם הוסיפו כי "23andMe לא מאמינה שחוק אילינוי חל כאן."
23andMe לא בהכרח עמד בה כל הבטחותיה הביטחוניות הנעלות. עם זאת, היו תכונות אבטחת חשבון זמינות ללקוחות שהיו עשויות למנוע מילוי אישורים, כולל אימות דו-שלבי עם אפליקציית אימות. וכן, בעקבות החברה גילוי ראשוני והודעה לציבור, היא הטמיעה סדרה של תיקוני אבטחה סטנדרטיים, כולל הודעה לרשויות אכיפת החוק, סיום כל הפעלות המשתמשות הפעילות ודרישה מכל המשתמשים לאפס את הסיסמאות שלהם.
"לא פחות חשוב, לא ניתן להשתמש במידע שאליו ניתן לגשת לכל נזק", כתבו עורכי הדין. "מידע הפרופיל שאליו ניתן היה לגשת קשור לתכונת קרובי ה-DNA, שלקוח יוצר ובוחר לחלוק עם משתמשים אחרים בפלטפורמה של 23andMe", ו"לא ניתן היה להשתמש במידע שהשחקן הבלתי מורשה השיג על תובעים לגרום נזק ממוני (זה לא כלל את מספר תעודת זהות, מספר רישיון נהיגה או כל תשלום או מידע פיננסי).
השמיים אופי הנתונים הגנובים גם מנחות את CMIA, מסביר המכתב, שכן הוא "לא היווה 'מידע רפואי' למרות שהיה ניתן לזיהוי אישי)."
מי אחראי כאשר אישורים דולפים?
חשבונות 23andMe אינם מאובטחים באופן ייחודי. "לכל ארגון שאתה יכול לחשוב עליו שיש לו פורטל לקוחות, בין אם הם רוצים להודות בכך או לא, יש את הבעיה הזו, רק לא תמיד בקנה מידה כזה", אומר מור.
כך עולה סוגיה רחבה ועמוקת יותר. ניתן להאשים כל סיסמה בשימוש חוזר על המשתמש שלה, אבל בידיעה שהנוהג כן אנדמי ברחבי הרשת, האם אחריות מסוימת להגנה על חשבונות נופלת אז על ספק השירות?
"האחריות, אני חושב, היא משותפת. וזו לא תשובה מהנה", מודה מור.
מצד אחד, למשתמשים יש א רשימת כביסה של שיטות עבודה מומלצות הם יכולים לסמוך עליהם כדי להפוך השתלטות בחשבון לא בלתי אפשרית, אבל לפחות קשה מאוד.
יחד עם זאת, מציין מור, חברות צריכות להפעיל את הכוח שלהן כדי להגן על לקוחותיהן, עם הכלים הרבים שעומדים לרשותן. מעבר להציע (או לדרוש) אימות רב-גורמי, אתרים יכולים לאכוף ספי סיסמה חזקים, ולספק הודעה למשתמשים כאשר כניסות מתרחשות ממקומות חריגים או בתדירות חריגה. "אז מנקודת מבט משפטית: מה אומרים תנאי השירות ומדיניות השימוש המקובל שלך? כאשר משתמש מקבל הסכם, מה הוא מסכים שההיגיינה שלו תהיה?" הוא שואל.
"אני חושב שצריך להיות כתב זכויות של לקוח בעניין זה שאומר שאם אתה מנהל מידע אישי רגיש, פורטלי לקוחות חייבים להציע דרך לבדוק אם יש אישורים חזקים, דרך לבדוק הפרות ידועות ודרך לוודא יש לך אימות אדפטיבי או ריבוי גורמים שאינם משתמשים באמצעים פגומים כמו SMS. אז אפשר לומר: זו דרישת המינימום", הוא אומר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 000
- 14
- a
- אודות
- קביל
- מקבל
- גישה
- נצפה
- חֶשְׁבּוֹן
- השתלטות על חשבון
- חשבונות
- לרוחב
- לפעול
- פעיל
- הסתגלות
- הוסיף
- לְהוֹדוֹת
- משפיע
- נגד
- הסכם
- תעשיות
- כביכול
- גם
- תמיד
- an
- ו
- לענות
- כל
- האפליקציה
- חל
- ARE
- מתווכח
- טענה
- AS
- At
- אימות
- זמין
- BE
- היה
- תאמינו
- הטוב ביותר
- מוטב
- מעבר
- הצעת חוק
- ביוטכנולוגיה
- חברת ביוטכנולוגיה
- הפרה
- פרות
- רחב
- אבל
- by
- קליפורניה
- CAN
- לא יכול
- יכולות
- מקרה
- לגרום
- לבדוק
- רֹאשׁ
- מְחוּיָב
- Common
- חברות
- חברה
- סודיות
- להוות
- יכול
- בתי משפט
- יוצר
- תְעוּדָה
- מלית אישורים
- אישורים
- לקוח
- לקוחות
- אבטחת סייבר
- נתונים
- עמוק יותר
- DID
- לא
- קשה
- הנחות
- תגלית
- סילוק
- ה-DNA
- do
- עושה
- לא איכפת
- נהג
- לאכוף
- אַכִיפָה
- באותה מידה
- Ether (ETH)
- אֲפִילוּ
- כולם
- מוסבר
- מסביר
- חשוף
- נכשל
- כשלון
- ליפול
- מאפיין
- תכונות
- כספי
- מידע פיננסי
- ראשון
- הבא
- בעד
- החל מ-
- כֵּיף
- גנטי
- לקבל
- הולך
- קְבוּצָה
- האקרים
- יד
- לפגוע
- יש
- he
- כאן
- HTTPS
- i
- if
- אילינוי
- יושם
- חשוב
- בלתי אפשרי
- תקרית
- תקריות
- לכלול
- כולל
- בנפרד
- תעשייה
- מידע
- לא בטוח
- במקום
- פנימי
- סוגיה
- IT
- שֶׁלָה
- jpg
- רק
- לדעת
- יודע
- ידוע
- אחרון
- חוק
- אכיפת החוק
- תביעות
- עורכי דין
- לדלוף
- הכי פחות
- משפטי
- מכתב
- אחריות
- רישיון
- שקרים
- כמו
- להגביל
- רשימה
- מתנשא
- הגיון
- כניסות
- לתחזק
- לעשות
- ניהול
- רב
- מאי..
- אומר
- אמצעים
- רפואי
- יכול
- מִילִיוֹן
- מיליונים
- מינימום
- יותר
- אימות רב גורמים
- צריך
- כמעט
- בהכרח
- צורך
- הודעה..
- מודיע
- מספר
- מושג
- להתרחש
- of
- הַצָעָה
- הצעה
- on
- ONE
- הִסתָעֲרוּת
- or
- ארגון
- אחר
- הַחוּצָה
- שֶׁלוֹ
- סיסמה
- סיסמאות
- תשלום
- אישי
- מקומות
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- נקודות
- מדיניות
- כניסה
- פוטנציאל
- כּוֹחַ
- תרגול
- נשיא
- מנע
- קודם
- פְּרָטִיוּת
- בעיה
- פּרוֹפִיל
- להגן
- אבטחה
- לספק
- ספק
- מספק
- ציבורי
- שאלה
- מעלה
- RE
- סביר
- רשום
- ממוחזר
- קָשׁוּר
- קרובי משפחה
- לסמוך
- המייצג
- דרישה
- אחריות
- אחראי
- תוצאה
- זכויות
- הסיכון
- s
- אמר
- אותו
- לומר
- אומר
- סולם
- אבטחה
- אמצעי אבטחה
- רגיש
- נשלח
- סדרה
- שרות
- ספק שירות
- הפעלות
- שבע
- שיתוף
- משותף
- שיתוף
- צריך
- דומה
- אתר
- אתרים
- SMS
- חֶברָתִי
- כמה
- תֶקֶן
- עמדה
- סטיב
- גָנוּב
- תַכסִיסָן
- חזק
- מלית
- בטוח
- מערכות
- T
- השתלטות
- TechCrunch
- מונחים
- תנאי השירות
- מֵאֲשֶׁר
- זֶה
- השמיים
- המידע
- שֶׁלָהֶם
- אז
- שם.
- לכן
- הֵם
- לחשוב
- זֶה
- אם כי?
- דרך
- זמן
- ל
- כלים
- לא מורשה
- תחת
- באופן ייחודי
- בלתי שגרתי
- עדכון
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- אימות
- נגד
- מאוד
- סְגָן
- סגן הנשיא
- הופר
- הפרות
- רוצה
- היה
- דֶרֶך..
- we
- טוֹב
- היו
- מה
- כלשהו
- מתי
- אם
- אשר
- עם
- כתב
- אתה
- זפירנט