W obliczu lawiny procesów sądowych 23andMe wypiera się odpowiedzialności za dane genetyczne milionów użytkowników, które wyciekły jesienią ubiegłego roku.
In list wysłany do grupy użytkowników pozywając firmę przejętą przez TechCrunch, prawnicy reprezentujący firmę biotechnologiczną przedstawili argument, że użytkownicy są odpowiedzialni za jakiekolwiek ujawnienie danych.
Tak jak ujawniony w zeszłym miesiącuhakerzy nie włamali się do wewnętrznych systemów firmy. Zamiast tego uzyskali dostęp do około 14,000 XNUMX kont za pomocą upchania poświadczeń, a następnie uzyskali dostęp do danych prawie siedmiu milionów kolejnych za pośrednictwem opcjonalnej funkcji udostępniania DNA krewnych w witrynie.
Argument ten rodzi ważne pytanie dla sądów, a także szerzej rozumianej branży cyberbezpieczeństwa: jaka część odpowiedzialności spoczywa na użytkowniku, a nie na dostawcy usług, gdy dane uwierzytelniające zostaną „sfałszowane”?
„Każdy powinien wiedzieć lepiej, jak nie używać niehigienicznych danych uwierzytelniających” – mówi Steve Moore, wiceprezes i główny specjalista ds. strategii bezpieczeństwa w Exabeam. „Ale jednocześnie organizacja świadcząca usługę powinna mieć możliwości ograniczenia tego ryzyka”.
Uzasadnienie 23andMe
Grupa użytkowników pozywająca 23andMe twierdzi, że firma naruszyła kalifornijską ustawę o prawach do prywatności (CPRA), kalifornijską ustawę o poufności informacji medycznych (CMIA) i ustawę o ochronie informacji genetycznych stanu Illinois (GIPA) oraz dopuściła się szeregu innych naruszeń prawa zwyczajowego .
Po pierwsze, jak wyjaśnili prawnicy firmy, „użytkownicy w wyniku zaniedbania poddali recyklingowi hasła i nie zaktualizowali ich” w następstwie wcześniejszych incydentów mających wpływ na ich loginy, „które nie są powiązane z 23andMe. Dlatego też incydent nie był wynikiem rzekomego niezastosowania przez 23andMe odpowiednich środków bezpieczeństwa zgodnie z CPRA.” Podobna logika ma zastosowanie w przypadku GIPA, chociaż dodano, że „23andMe nie wierzy, że ma tu zastosowanie prawo stanu Illinois”.
23andMe niekoniecznie spełniło te wymagania wszystkich swoich wzniosłych obietnic dotyczących bezpieczeństwa. W związku z tym dla klientów dostępne były funkcje zabezpieczeń konta, które mogły uniemożliwić upychanie danych uwierzytelniających, w tym weryfikacja dwuetapowa za pomocą aplikacji uwierzytelniającej. I podążając za firmą pierwsze odkrycie i ogłoszenie publiczne, wdrożyło szereg standardowych środków zaradczych związanych z bezpieczeństwem, w tym powiadomienie organów ścigania, zakończenie wszystkich aktywnych sesji użytkowników i wymaganie od wszystkich użytkowników zresetowania haseł.
„Co równie ważne, informacje, do których potencjalnie uzyskano dostęp, nie mogą zostać wykorzystane w żadnym celu” – napisali prawnicy. „Informacje profilowe, do których mógł uzyskać dostęp, związane z funkcją DNA Relatives, którą klient tworzy i którą decyduje się udostępnić innym użytkownikom na platformie 23andMe” oraz „informacje, które potencjalnie uzyskała nieupoważniona osoba na temat powodów, nie mogły zostać wykorzystane do wyrządzić szkodę majątkową (nie zawierało numeru ubezpieczenia społecznego, numeru prawa jazdy ani żadnych informacji dotyczących płatności lub finansów).”
Połączenia charakter skradzionych danych pomija także CMIA, wyjaśnia w piśmie, ponieważ „nie stanowi ona «informacji medycznych», mimo że umożliwiała indywidualną identyfikację)”.
Kto jest odpowiedzialny za wyciek danych uwierzytelniających?
Konta 23andMe nie są wyjątkowo bezpieczne. „Każda organizacja, która ma portal dla klientów, niezależnie od tego, czy chce się do tego przyznać, czy nie, ma ten problem, choć nie zawsze na taką skalę” – mówi Moore.
W ten sposób pojawia się szerszy i głębszy problem. Każde ponownie użyte hasło można zrzucić winę na jego użytkownika, ale wiedząc, że taka jest praktyka endemiczny w całej sieci, czy w takim przypadku część odpowiedzialności za ochronę kont spada na usługodawcę?
„Myślę, że odpowiedzialność jest wspólna. A to nie jest zabawna odpowiedź” – przyznaje Moore.
Z jednej strony użytkownicy mają lista najlepszych praktyk do prania na których mogą polegać, aby przejęcie konta nie było niemożliwe, ale przynajmniej bardzo trudne.
Jednocześnie, jak zauważa Moore, firmy muszą wykorzystać własne siły, aby chronić swoich klientów, korzystając z wielu narzędzi, którymi dysponują. Oprócz oferowania (lub wymagania) uwierzytelniania wieloskładnikowego witryny mogą wymuszać wysokie progi haseł i powiadamiać użytkowników, gdy logowanie następuje z nietypowych miejsc lub z nietypową częstotliwością. „Następnie z prawnego punktu widzenia: co mówią warunki świadczenia usług i zasady dopuszczalnego użytkowania? Kiedy użytkownik akceptuje umowę, na co zgadza się, że będzie jego higiena?” On pyta.
„Uważam, że powinna istnieć w tej kwestii karta praw klienta, która stanowiłaby, że jeśli zarządzasz wrażliwymi danymi osobowymi, portale dla klientów muszą oferować sposób sprawdzania silnych danych uwierzytelniających, sposób sprawdzania znanych naruszeń oraz sposób upewniania się, że masz uwierzytelnianie adaptacyjne lub wieloskładnikowe, które nie korzysta z omylnych środków, takich jak SMS. Wtedy możemy powiedzieć: to jest minimalne wymaganie” – mówi.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 000
- 14
- a
- O nas
- do przyjęcia
- Akceptuje
- dostęp
- dostęp
- Konto
- przejęcie konta
- Konta
- w poprzek
- działać
- aktywny
- adaptive
- w dodatku
- przyznać
- wpływający
- przed
- Umowa
- Wszystkie kategorie
- rzekomy
- również
- zawsze
- an
- i
- odpowiedź
- każdy
- Aplikacja
- dotyczy
- SĄ
- Argumentuje
- argument
- AS
- At
- Uwierzytelnianie
- dostępny
- BE
- być
- uwierzyć
- BEST
- Ulepsz Swój
- Poza
- Rachunek
- Biotechnologia
- firma biotechnologiczna
- naruszenie
- naruszenia
- szerszy
- ale
- by
- California
- CAN
- nie może
- możliwości
- walizka
- Spowodować
- ZOBACZ
- szef
- zobowiązany
- wspólny
- Firmy
- sukcesy firma
- poufność
- stanowić
- mógłby
- Sądy
- tworzy
- POŚWIADCZENIE
- nadziewanie poświadczeń
- Listy uwierzytelniające
- klient
- Klientów
- Bezpieczeństwo cybernetyczne
- dane
- głębiej
- ZROBIŁ
- nie zrobił
- trudny
- rabaty
- odkrycie
- sprzedaż
- DNA
- do
- robi
- robi
- kierowca
- egzekwować
- egzekwowanie
- Równie
- Eter (ETH)
- Parzyste
- wszyscy
- wyjaśnione
- Objaśnia
- narażony
- Failed
- Brak
- Spadać
- Cecha
- Korzyści
- budżetowy
- Informacje finansowe
- i terminów, a
- następujący
- W razie zamówieenia projektu
- od
- zabawa
- genetyczny
- otrzymać
- będzie
- Zarządzanie
- hakerzy
- ręka
- zaszkodzić
- Have
- he
- tutaj
- HTTPS
- i
- if
- Illinois
- realizowane
- ważny
- niemożliwy
- incydent
- incydenty
- zawierać
- Włącznie z
- Indywidualnie
- przemysł
- Informacja
- niepewny
- zamiast
- wewnętrzny
- problem
- IT
- JEGO
- jpg
- właśnie
- Wiedzieć
- Wiedząc
- znany
- Nazwisko
- Prawo
- egzekwowanie prawa
- Pozwy
- Prawnicy
- przeciec
- najmniej
- Regulamin
- list
- odpowiedzialność
- Licencja
- leży
- lubić
- LIMIT
- Lista
- wysoki
- logika
- loginy
- utrzymać
- robić
- zarządzający
- wiele
- Może..
- znaczy
- środków
- medyczny
- może
- milion
- miliony
- minimum
- jeszcze
- wieloczynnikowe uwierzytelnianie
- musi
- prawie
- koniecznie
- Potrzebować
- Zauważyć..
- powiadomienie
- numer
- uzyskane
- występować
- of
- oferta
- oferuje
- on
- ONE
- atak
- or
- organizacja
- Inne
- na zewnątrz
- własny
- Hasło
- hasła
- płatność
- osobisty
- Miejsca
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- punkt
- zwrotnica
- polityka
- Portal
- potencjalnie
- power
- praktyka
- prezydent
- zapobiec
- Wcześniejszy
- prywatność
- Problem
- Profil
- chronić
- ochrony
- zapewniać
- dostawca
- zapewnia
- publiczny
- pytanie
- podnosi
- RE
- rozsądny
- dokumentacja
- recyklingu
- związane z
- krewni
- polegać
- reprezentowanie
- wymaganie
- odpowiedzialność
- odpowiedzialny
- dalsze
- prawa
- Ryzyko
- s
- Powiedział
- taki sam
- powiedzieć
- mówią
- Skala
- bezpieczeństwo
- Środki bezpieczeństwa
- wrażliwy
- wysłany
- Serie
- usługa
- Usługodawca
- Sesje
- siedem
- Share
- shared
- dzielenie
- powinien
- podobny
- witryna internetowa
- Witryny
- SMS
- Obserwuj Nas
- kilka
- standard
- punkt widzenia
- Steve
- skradziony
- Strateg
- silny
- farsz
- pewnie
- systemy
- T
- Przejęcie
- TechCrunch
- REGULAMIN
- regulamin
- niż
- że
- Połączenia
- Informacje
- ich
- następnie
- Tam.
- w związku z tym
- one
- myśleć
- to
- chociaż?
- Przez
- czas
- do
- narzędzia
- Nieupoważniony
- dla
- wyjątkowo
- niezwykły
- Aktualizacja
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- Weryfikacja
- Przeciw
- początku.
- wice
- Wiceprezes
- łamane
- Naruszenia
- chcieć
- była
- Droga..
- we
- DOBRZE
- były
- Co
- cokolwiek
- jeśli chodzi o komunikację i motywację
- czy
- który
- w
- napisał
- ty
- Twój
- zefirnet