Opp mot et angrep av søksmål, nekter 23andMe ansvar for millioner av brukeres genetiske poster lekket i fjor høst.
In et brev sendt til en gruppe brukere advokater som representerte bioteknologiselskapet saksøkte selskapet innhentet av TechCrunch, la frem en sak som brukere hadde skylden for alle data som måtte ha blitt avslørt.
Som var avslørt forrige måned, hackere brøt ikke selskapets interne systemer. I stedet fikk de tilgang til rundt 14,000 XNUMX kontoer ved hjelp av legitimasjonsfylling, og fikk deretter tilgang til data fra nesten syv millioner flere gjennom nettstedets valgfrie DNA-slektningsfunksjon.
Argumentet reiser et viktig spørsmål for domstolene, så vel som den bredere cybersikkerhetsindustrien: Hvilken del av ansvaret ligger hos brukeren, kontra tjenesteleverandøren, når legitimasjonen blir fylt?
"Alle burde vite bedre enn å bruke en uhygienisk legitimasjon," sier Steve Moore, visepresident og sjefssikkerhetsstrateg i Exabeam. "Men samtidig bør organisasjonen som leverer tjenesten ha evner til å begrense risikoen for det."
23andMes begrunnelse
Brukergruppen som saksøker 23andMe hevder at selskapet brøt California Privacy Rights Act (CPRA), California Confidentiality of Medical Information Act (CMIA) og Illinois Genetic Information Privacy Act (GIPA), og begikk en rekke andre brudd på fellesloven. .
Til det første punktet, forklarte selskapets advokater, "brukere resirkulerte uaktsomt og klarte ikke å oppdatere passordene sine" etter tidligere hendelser som påvirker påloggingene deres, "som ikke er relatert til 23andMe. Derfor var ikke hendelsen et resultat av 23andMes påståtte unnlatelse av å opprettholde rimelige sikkerhetstiltak under CPRA.» Lignende logikk gjelder for GIPA, selv om de la til at "23andMe tror ikke at Illinois-loven gjelder her."
23andMe har ikke nødvendigvis levd opp til alle dens høye sikkerhetsløfter. Med det sagt, var det kontosikkerhetsfunksjoner tilgjengelig for kunder som kan ha forhindret påloggingsfylling, inkludert to-trinns bekreftelse med en autentiseringsapp. Og følger selskapets første oppdagelse og offentlig kunngjøring, implementerte den en rekke standard sikkerhetsutbedring, inkludert å varsle politi, avslutte alle aktive brukersesjoner og kreve at alle brukere tilbakestiller passordene sine.
"Like viktig er at informasjonen som potensielt ble tilgang til ikke kan brukes til skade," skrev advokatene. «Profilinformasjonen som kan ha blitt åpnet knyttet til funksjonen DNA-slektninger, som en kunde oppretter og velger å dele med andre brukere på 23andMes plattform», og «informasjonen som den uautoriserte aktøren potensielt har fått om saksøkere, kunne ikke vært brukt til å forårsake økonomisk skade (den inkluderte ikke personnummer, førerkortnummer eller betalings- eller økonomisk informasjon).»
De arten av de stjålne dataene gir også rabatt på CMIA, forklarer brevet, siden det "ikke utgjorde 'medisinsk informasjon' selv om det var individuelt identifiserbart)."
Hvem er ansvarlig når legitimasjon lekker?
23andMe-kontoer er ikke unikt usikre. "Enhver organisasjon du kan tenke deg som har en kundeportal, enten de vil innrømme det eller ikke, har dette problemet, bare ikke alltid i denne skalaen," sier Moore.
Dermed oppstår et bredere, dypere spørsmål. Ethvert gjenbrukt passord kan skyldes på brukeren, men vel vitende om at praksisen er det endemisk over nettet, faller noe ansvar for å beskytte kontoer på tjenesteleverandøren?
«Ansvar, tror jeg, er delt. Og det er ikke et morsomt svar," innrømmer Moore.
På den ene siden har brukerne en vaskeri liste over beste praksis de kan stole på for å gjøre kontoovertakelse ikke umulig, men i det minste svært vanskelig.
Samtidig, påpeker Moore, må bedrifter bruke sin egen kraft for å beskytte kundene sine, med de mange verktøyene de har til rådighet. Utover å tilby (eller kreve) multifaktorautentisering, kan nettsteder håndheve sterke passordterskler og gi brukere beskjed når pålogginger skjer fra uvanlige steder eller ved uvanlige frekvenser. "Så fra et juridisk synspunkt: Hva sier dine vilkår for bruk og akseptabel bruk? Når en bruker godtar en avtale, hva godtar de at hygienen deres skal være?» han spør.
"Jeg tror det bør være en kundes rettighetserklæring på dette som sier at hvis du administrerer sensitiv personlig informasjon, må kundeportaler tilby en måte å sjekke etter sterk legitimasjon, en måte å sjekke mot kjente brudd, og en måte å sørge for du har adaptiv autentisering eller multifaktor som ikke bruker feilbare midler som SMS. Da kan vi si: dette er minimumskravet, sier han.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- : har
- :er
- :ikke
- $OPP
- 000
- 14
- a
- Om oss
- akseptabelt
- godtar
- adgang
- aksesseres
- Logg inn
- kontoovertakelse
- kontoer
- tvers
- Handling
- aktiv
- adaptive
- la til
- innrømme
- påvirker
- mot
- Avtale
- Alle
- påstått
- også
- alltid
- an
- og
- besvare
- noen
- app
- gjelder
- ER
- argumenterer
- argument
- AS
- At
- Autentisering
- tilgjengelig
- BE
- vært
- tro
- BEST
- Bedre
- Beyond
- Bill
- bioteknologi
- bioteknologiselskap
- brudd
- brudd
- bredere
- men
- by
- california
- CAN
- kan ikke
- evner
- saken
- Årsak
- sjekk
- sjef
- forpliktet
- Felles
- Selskaper
- Selskapet
- konfidensialitet
- utgjør
- kunne
- Baner
- skaper
- KREDENSISJON
- legitimasjonsstopping
- Credentials
- kunde
- Kunder
- Cybersecurity
- dato
- dypere
- gJORDE
- gjorde ikke
- vanskelig
- rabatter
- Funnet
- avhending
- dna
- do
- gjør
- doesn
- sjåfør
- håndheve
- håndhevelse
- like
- Eter (ETH)
- Selv
- alle
- forklarte
- forklarer
- utsatt
- Mislyktes
- Failure
- Fall
- Trekk
- Egenskaper
- finansiell
- økonomisk informasjon
- Først
- etter
- Til
- fra
- moro
- genetisk
- få
- skal
- Gruppe
- hackere
- hånd
- skade
- Ha
- he
- her.
- HTTPS
- i
- if
- Illinois
- implementert
- viktig
- umulig
- hendelse
- hendelser
- inkludere
- Inkludert
- individuelt
- industri
- informasjon
- usikker
- i stedet
- intern
- utstedelse
- IT
- DET ER
- jpg
- bare
- Vet
- Knowing
- kjent
- Siste
- Law
- rettshåndhevelse
- Søksmål
- advokater
- lekke
- minst
- Lovlig
- brev
- ansvar
- Tillatelse
- ligger
- i likhet med
- BEGRENSE
- Liste
- oppløftet
- logikk
- pålogginger
- vedlikeholde
- gjøre
- administrerende
- mange
- Kan..
- midler
- målinger
- medisinsk
- kunne
- millioner
- millioner
- minimum
- mer
- multifaktorautentisering
- må
- nesten
- nødvendigvis
- Trenger
- Legge merke til..
- varsler
- Antall
- innhentet
- forekomme
- of
- tilby
- tilby
- on
- ONE
- onslaught
- or
- organisasjon
- Annen
- ut
- egen
- Passord
- passord
- betaling
- personlig
- steder
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Point
- poeng
- politikk
- Portal
- potensielt
- makt
- praksis
- president
- forhindret
- Før
- privatliv
- Problem
- Profil
- beskytte
- beskytte
- gi
- leverandør
- gir
- offentlig
- spørsmål
- hever
- RE
- rimelig
- poster
- resirkulert
- i slekt
- slektninger
- avhengige
- representerer
- behov
- ansvar
- ansvarlig
- resultere
- rettigheter
- Risiko
- s
- Sa
- samme
- sier
- sier
- Skala
- sikkerhet
- Sikkerhetstiltak
- sensitive
- sendt
- Serien
- tjeneste
- Tjenesteyter
- sesjoner
- syv
- Del
- delt
- deling
- bør
- lignende
- nettstedet
- Nettsteder
- SMS
- selskap
- noen
- Standard
- ståsted
- Steve
- stjålet
- Strategist
- sterk
- stuffing
- sikker
- Systemer
- T
- overtakelse
- TechCrunch
- vilkår
- vilkårene for tjenesten
- enn
- Det
- De
- informasjonen
- deres
- deretter
- Der.
- derfor
- de
- tror
- denne
- selv om?
- Gjennom
- tid
- til
- verktøy
- uautorisert
- etter
- unikt
- uvanlig
- Oppdater
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- Verifisering
- Versus
- veldig
- vice
- Vice President
- krenket
- Brudd
- ønsker
- var
- Vei..
- we
- VI VIL
- var
- Hva
- uansett
- når
- om
- hvilken
- med
- skrev
- du
- Din
- zephyrnet