訴訟の猛攻撃に対し、23andMeは昨秋漏洩した何百万人ものユーザーの遺伝子記録に対する責任を否定している。
In ユーザーのグループに送られた手紙 TechCrunchが入手した同社を告訴した際、バイオテクノロジー企業の代理人弁護士らは、データが流出した可能性が何であれ、ユーザーの責任であるとする訴訟を展開した。
あったように 先月明らかにした、ハッカーは会社の内部システムに侵入しませんでした。代わりに、彼らはクレデンシャルスタッフィングを使用して約14,000のアカウントへのアクセスを取得し、その後、サイトのオプションのDNA親戚共有機能を介してさらにXNUMX万近くのアカウントのデータにアクセスしました。
この議論は、裁判所だけでなく、より広範なサイバーセキュリティ業界にとっても重要な問題を提起しています。それは、資格情報が詰め込まれた場合、サービスプロバイダーではなくユーザーにどのような責任があるのかということです。
Exabeam のバイスプレジデント兼チーフ セキュリティ ストラテジストである Steve Moore 氏は、「不衛生な認証情報を使用することは誰もがよく知っているはずです」と述べています。 「しかし同時に、サービスを提供する組織はそのリスクを制限する機能を備えている必要があります。」
23andMe の理論的根拠
23andMeを訴えたユーザー団体は、同社がカリフォルニア州プライバシー権法(CPRA)、カリフォルニア州医療情報秘密保持法(CMIA)、イリノイ州遺伝情報プライバシー法(GIPA)に違反し、その他多くの慣習法違反を犯したと主張している。 。
第一に、同社の弁護士は、ログインに影響を与えた以前の事件の後、「ユーザーがパスワードを不注意にリサイクルし更新しなかった」が、「これは 23andMe とは無関係である」と説明した。したがって、このインシデントは、23andMe が CPRA に基づく合理的なセキュリティ対策を維持しなかったことによるものではありません。」同様の論理はGIPAにも当てはまりますが、「23andMeはイリノイ州の法律がここに適用されるとは考えていない」とも付け加えています。
23andMe は必ずしもそれに応えてきたわけではありません その高尚なセキュリティの約束すべて。そうは言っても、認証アプリによる 2 段階認証など、資格情報のスタッフィングを防止する可能性のあるアカウント セキュリティ機能が顧客に利用可能でした。そして、同社の方針に従って、 最初の発見と公表、法執行機関への通知、すべてのアクティブなユーザー セッションの終了、すべてのユーザーへのパスワードのリセットの要求など、一連の標準的なセキュリティ修復策が実装されました。
「同様に重要なことは、アクセスされた可能性のある情報はいかなる危害にも利用できないということだ」と弁護士らは書いている。 「顧客が作成し、23andMe のプラットフォーム上で他のユーザーと共有することを選択した DNA 親戚機能に関連してアクセスされた可能性のあるプロフィール情報」、および「無許可の行為者が潜在的に取得した原告に関する情報は、このような目的で使用された可能性はありません」金銭的損害を引き起こす(社会保障番号、運転免許証番号、支払い情報や財務情報は含まれていません)。」
盗まれたデータの性質 また書簡では、CMIAは「個人を特定できるものであっても『医療情報』を構成しない」ため、CMIAを割り引いていると説明している。
資格情報が漏洩した場合の責任は誰にあるのでしょうか?
23andMe アカウントは特別に安全ではありません。 「顧客ポータルを持っていると考えられる組織は、認めようが認めまいが、この問題を抱えています。常にこの規模であるとは限りません」とムーア氏は言います。
したがって、より広範で深い問題が生じます。再利用されたパスワードはすべてそのユーザーのせいになる可能性がありますが、実際には、 ウェブ全体の風土病、アカウントを保護する責任の一部はサービスプロバイダーにあるのでしょうか?
「責任は共有されると思います。それは楽しい答えではありません」とムーアは認める。
一方で、ユーザーは ベストプラクティスの膨大なリスト アカウント乗っ取りは不可能ではありませんが、少なくとも非常に困難です。
同時に、企業は自由に使える多くのツールを活用して、顧客を保護するために独自の力を発揮する必要があるとムーア氏は指摘します。サイトでは、多要素認証を提供 (または要求) するだけでなく、強力なパスワードしきい値を強制したり、異常な場所または異常な頻度でログインが発生した場合にユーザーに通知したりすることもできます。 「では、法的な観点から見てみましょう。サービス利用規約と利用規約にはどのようなことが書かれているでしょうか?ユーザーが同意するとき、ユーザーは自分の衛生状態がどうなるかについて同意しますか?」彼は尋ねます。
「機密性の高い個人情報を管理している場合、顧客ポータルは、強力な資格情報を確認する方法、既知の侵害をチェックする方法、および確実に確認する方法を提供する必要があるという、これに関する顧客の権利章典が必要だと思います」 SMS などの誤った手段を使用しない適応型認証または多要素認証を使用している場合。そうすれば、「これが最低要件だ」と言えます」と彼は言います。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :持っている
- :は
- :not
- $UP
- 000
- 14
- a
- 私たちについて
- ことができます。
- 受け入れる
- アクセス
- アクセス
- アカウント乗っ取り
- アカウント
- 越えて
- 行為
- アクティブ
- 適応
- 追加されました
- 認める
- 影響
- に対して
- 契約
- すべて
- 主張された
- また
- 常に
- an
- および
- 回答
- どれか
- アプリ
- 適用
- です
- 主張する
- 引数
- AS
- At
- 認証
- 利用できます
- BE
- き
- 信じる
- BEST
- より良いです
- 越えて
- ビル
- バイオテクノロジー
- バイオテクノロジー会社
- 違反
- 違反
- より広い
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- カリフォルニア州
- 缶
- 機能
- 場合
- 原因となる
- チェック
- チーフ
- コミットした
- コマンドと
- 企業
- 会社
- 秘密
- 構成します
- 可能性
- 裁判所
- 作成します。
- クレデンシャル
- クレデンシャルスタッフィング
- Credentials
- 顧客
- Customers
- サイバーセキュリティ
- データ
- より深い
- DID
- しなかった
- 難しい
- 割引
- 発見
- 廃棄
- DNA
- do
- ありません
- doesnの
- ドライバー
- 強制します
- 執行
- 平等に
- エーテル(ETH)
- さらに
- 誰も
- 説明
- 説明
- 露出した
- Failed:
- 不良解析
- 秋
- 特徴
- 特徴
- ファイナンシャル
- 財務情報
- 名
- フォロー中
- から
- 楽しいです
- 遺伝子の
- 取得する
- 行く
- グループ
- ハッカー
- ハンド
- 害
- 持ってる
- he
- こちら
- HTTPS
- i
- if
- イリノイ州
- 実装
- 重要
- 不可能
- 事件
- 事件
- include
- 含めて
- 個別に
- 産業を変えます
- 情報
- 安全でない
- を取得する必要がある者
- 内部
- 問題
- IT
- ITS
- JPG
- ただ
- 知っている
- 知っている
- 既知の
- 姓
- 法律
- 法執行機関
- 訴訟
- 弁護士
- 漏れ
- 最低
- リーガルポリシー
- 手紙
- 賠償責任
- ライセンス
- ある
- ような
- LIMIT
- リスト
- 高尚な
- ロジック
- ログイン
- 維持する
- make
- 管理する
- 多くの
- 五月..
- 手段
- 措置
- 医療の
- かもしれない
- 百万
- 何百万
- 最小
- 他には?
- マルチファクタ認証
- しなければなりません
- ほぼ
- 必ずしも
- 必要
- 知らせ..
- 通知する
- 数
- 得
- 発生する
- of
- 提供
- 提供すること
- on
- ONE
- 猛攻撃
- or
- 組織
- その他
- でる
- 自分の
- パスワード
- パスワード
- 支払い
- 個人的な
- 場所
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポイント
- ポイント
- 方針
- ポータル
- :
- 電力
- 練習
- 社長
- 防止
- 事前の
- プライバシー
- 問題
- プロフィール
- 守る
- 保護
- 提供します
- プロバイダー
- は、大阪で
- 公共
- 質問
- 提起
- RE
- 合理的な
- 記録
- リサイクル
- 関連する
- 親族
- 頼る
- 表します
- 要件
- 責任
- 責任
- 結果
- 権利
- リスク
- s
- 前記
- 同じ
- 言う
- 言う
- 規模
- セキュリティ
- セキュリティー対策
- 敏感な
- 送信
- シリーズ
- サービス
- サービスプロバイダー
- セッション
- セブン
- シェアする
- shared
- シェアリング
- すべき
- 同様の
- ウェブサイト
- サイト
- SMS
- 社会
- 一部
- 標準
- 立場
- スティーブ
- 盗まれました
- 戦略家
- 強い
- 詰め物
- 確か
- システム
- T
- 乗っ取り
- TechCrunchの
- 条件
- 利用規約
- より
- それ
- 情報
- アプリ環境に合わせて
- その後
- そこ。
- したがって、
- 彼ら
- 考える
- この
- しかし?
- 介して
- 時間
- 〜へ
- 豊富なツール群
- 無許可
- 下
- 独特に
- 珍しいです
- アップデイト
- つかいます
- 中古
- ユーザー
- users
- Verification
- 対
- 非常に
- バイス
- 副会長
- 違反
- 違反
- 欲しいです
- ました
- 仕方..
- we
- WELL
- した
- この試験は
- どのような
- いつ
- かどうか
- which
- 書いた
- 貴社
- あなたの
- ゼファーネット