Enfrentando uma série de ações judiciais, a 23andMe está negando responsabilidade pelos registros genéticos de milhões de usuários vazados no outono passado.
In uma carta enviada a um grupo de usuários processando a empresa obtida pelo TechCrunch, os advogados que representam a empresa de biotecnologia expuseram um caso de que os usuários eram os culpados por quaisquer dados que pudessem ter sido expostos.
Como era revelado no mês passado, os hackers não violaram os sistemas internos da empresa. Em vez disso, eles obtiveram acesso a cerca de 14,000 mil contas usando preenchimento de credenciais e, em seguida, acessaram dados de quase sete milhões de outras por meio do recurso opcional de compartilhamento DNA Relatives do site.
O argumento levanta uma questão importante para os tribunais, bem como para a indústria de cibersegurança em geral: que parcela de responsabilidade recai sobre o utilizador, versus o fornecedor de serviços, quando as credenciais são preenchidas?
“Todos deveriam saber que não se deve usar uma credencial anti-higiênica”, diz Steve Moore, vice-presidente e estrategista-chefe de segurança da Exabeam. “Mas, ao mesmo tempo, a organização que presta o serviço deve ter capacidades para limitar o risco disso.”
Justificativa da 23andMe
O grupo de usuários que está processando a 23andMe argumenta que a empresa violou a Lei de Direitos de Privacidade da Califórnia (CPRA), a Lei de Confidencialidade de Informações Médicas da Califórnia (CMIA) e a Lei de Privacidade de Informações Genéticas de Illinois (GIPA) e cometeu uma série de outras violações da lei comum. .
Quanto ao primeiro ponto, explicaram os advogados da empresa, “os usuários reciclaram negligentemente e não atualizaram suas senhas” após incidentes anteriores que afetaram seus logins, “que não estão relacionados à 23andMe. Portanto, o incidente não foi resultado da alegada falha da 23andMe em manter medidas de segurança razoáveis sob o CPRA.” Lógica semelhante se aplica ao GIPA, embora tenham acrescentado que “23andMe não acredita que a lei de Illinois se aplique aqui”.
23andMe não necessariamente correspondeu todas as suas elevadas promessas de segurança. Dito isso, havia recursos de segurança de conta disponíveis para os clientes que poderiam ter evitado o preenchimento de credenciais, incluindo verificação em duas etapas com um aplicativo autenticador. E, seguindo as recomendações da empresa descoberta inicial e aviso público, implementou uma série de soluções de segurança padrão, incluindo notificação às autoridades, encerramento de todas as sessões ativas de usuários e exigência de que todos os usuários redefinam suas senhas.
“Igualmente importante, as informações que foram potencialmente acessadas não podem ser usadas para qualquer dano”, escreveram os advogados. “As informações de perfil que podem ter sido acessadas estão relacionadas ao recurso DNA Relatives, que um cliente cria e opta por compartilhar com outros usuários na plataforma da 23andMe” e “as informações que o ator não autorizado potencialmente obteve sobre os demandantes não poderiam ter sido usadas para causar danos pecuniários (não incluía o número do seguro social, número da carteira de motorista ou qualquer pagamento ou informação financeira).
A natureza dos dados roubados também desconsidera o CMIA, explica a carta, pois “não constituía ‘informação médica’, embora fosse individualmente identificável)”.
Quem é o responsável quando as credenciais vazam?
As contas 23andMe não são exclusivamente inseguras. “Qualquer organização que você possa imaginar que tenha um portal do cliente, quer ele queira admitir ou não, tem esse problema, mas nem sempre nessa escala”, diz Moore.
Assim surge uma questão mais ampla e profunda. Qualquer senha reutilizada pode ser atribuída ao seu usuário, mas, sabendo que a prática é endêmico em toda a Web, alguma responsabilidade pela proteção das contas recai sobre o provedor de serviços?
“A responsabilidade, eu acho, é compartilhada. E essa não é uma resposta divertida”, admite Moore.
Por um lado, os usuários têm uma lista de melhores práticas em que podem confiar para tornar a aquisição de contas não impossível, mas pelo menos muito difícil.
Ao mesmo tempo, salienta Moore, as empresas precisam de exercer o seu próprio poder para proteger os seus clientes, com as muitas ferramentas que têm à sua disposição. Além de oferecer (ou exigir) autenticação multifatorial, os sites podem impor limites de senha fortes e avisar os usuários quando os logins ocorrerem em locais ou frequências incomuns. “Então, do ponto de vista jurídico: o que dizem seus termos de serviço e política de uso aceitável? Quando um usuário aceita um acordo, como ele concorda que será sua higiene?” ele pergunta.
“Acho que deveria haver uma declaração de direitos do cliente sobre isso que diz que se você estiver gerenciando informações pessoais confidenciais, os portais do cliente devem oferecer uma maneira de verificar credenciais fortes, uma maneira de verificar violações conhecidas e uma maneira de garantir você tem autenticação adaptativa ou multifator que não usa meios falíveis como SMS. Aí podemos dizer: esse é o requisito mínimo”, afirma.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :tem
- :é
- :não
- $UP
- 000
- 14
- a
- Sobre
- aceitável
- Aceita
- Acesso
- acessadas
- Conta
- aquisição da conta
- Contas
- em
- Aja
- ativo
- adaptativo
- adicionado
- Admitem
- afetando
- contra
- Acordo
- Todos os Produtos
- alegado
- tb
- sempre
- an
- e
- responder
- qualquer
- app
- aplica
- SOMOS
- Argumenta
- argumento
- AS
- At
- Autenticação
- disponível
- BE
- sido
- Acreditar
- MELHOR
- Melhor
- Pós
- Projeto de lei
- biotecnologia
- empresa de biotecnologia
- violação
- violações
- mais amplo
- mas a
- by
- Califórnia
- CAN
- não podes
- capacidades
- casas
- Causar
- verificar
- chefe
- comprometido
- comum
- Empresas
- Empresa
- confidencialidade
- constituir
- poderia
- Tribunais
- cria
- CREDENCIAL
- recheio de credenciais
- Credenciais
- cliente
- Clientes
- Cíber segurança
- dados,
- mais profunda
- DID
- didn
- difícil
- descontos
- descoberta
- disposição
- dna
- do
- parece
- não
- motorista
- aplicar
- aplicação
- igualmente
- Éter (ETH)
- Mesmo
- todos
- explicado
- Explica
- exposto
- fracassado
- Falha
- Cair
- Característica
- Funcionalidades
- financeiro
- informação financeira
- Primeiro nome
- seguinte
- Escolha
- da
- Diversão
- genético
- ter
- vai
- Grupo
- hackers
- mão
- prejudicar
- Ter
- he
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- HTTPS
- i
- if
- Illinois
- implementado
- importante
- impossível
- incidente
- incidentes
- incluir
- Incluindo
- Individualmente
- indústria
- INFORMAÇÕES
- inseguro
- em vez disso
- interno
- emitem
- IT
- ESTÁ
- jpg
- apenas por
- Saber
- Conhecimento
- conhecido
- Sobrenome
- Escritórios de
- aplicação da lei
- Ações judiciais
- Advogados
- vazar
- mínimo
- Legal
- carta
- responsabilidade
- Licença
- encontra-se
- como
- LIMITE
- Lista
- sublime
- lógica
- logins
- a manter
- fazer
- gestão
- muitos
- Posso..
- significa
- medidas
- médico
- poder
- milhão
- milhões
- mínimo
- mais
- Autenticação multifatorial
- devo
- quase
- necessariamente
- você merece...
- Perceber..
- notificando
- número
- obtido
- ocorrer
- of
- oferecer
- oferecendo treinamento para distância
- on
- ONE
- ataque
- or
- organização
- Outros
- Fora
- próprio
- Senha
- senhas
- pagamento
- pessoal
- Locais
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- pontos
- Privacidade
- Portal
- potencialmente
- poder
- prática
- presidente
- evitada
- Prévio
- política de privacidade
- Problema
- Perfil
- proteger
- proteger
- fornecer
- provedor
- fornece
- público
- questão
- raises
- RE
- razoável
- registros
- reciclado
- relacionado
- parentes
- depender
- representando
- requerimento
- responsabilidade
- responsável
- resultar
- direitos
- Risco
- s
- Dito
- mesmo
- dizer
- diz
- Escala
- segurança
- Medidas de Segurança
- sensível
- enviei
- Série
- serviço
- Provedor de Serviço
- sessões
- Sete
- Partilhar
- compartilhado
- compartilhando
- rede de apoio social
- semelhante
- local
- Locais
- SMS
- Redes Sociais
- alguns
- padrão
- ponto de vista
- Steve
- roubado
- Estrategista
- mais forte,
- recheio
- certo
- sistemas
- T
- assumir o controle
- TechCrunch
- condições
- termos de serviço
- do que
- que
- A
- as informações
- deles
- então
- Lá.
- assim sendo
- deles
- think
- isto
- Apesar?
- Através da
- tempo
- para
- ferramentas
- não autorizado
- para
- unicamente
- incomum
- Atualizar
- usar
- usava
- Utilizador
- usuários
- utilização
- Verificação
- Contra
- muito
- vício
- Vice-Presidente
- violados
- Violações
- queremos
- foi
- Caminho..
- we
- BEM
- foram
- O Quê
- o que quer
- quando
- se
- qual
- de
- escreveu
- Você
- investimentos
- zefirnet