În fața unui aval de procese, 23andMe neagă răspunderea pentru înregistrările genetice ale milioanelor de utilizatori scurse toamna trecută.
In o scrisoare trimisă unui grup de utilizatori dând în judecată compania obținută de TechCrunch, avocații care reprezintă compania de biotehnologie au prezentat un caz pe care utilizatorii erau vinovați pentru orice date ar fi putut fi expuse.
Așa cum a fost dezvăluit luna trecută, hackerii nu au încălcat sistemele interne ale companiei. În schimb, ei au obținut acces la aproximativ 14,000 de conturi utilizând completarea acreditărilor, apoi au accesat date de la aproape șapte milioane prin intermediul funcției opționale de partajare a rudelor DNA a site-ului.
Argumentul ridică o întrebare importantă pentru instanțe, precum și pentru industria mai largă de securitate cibernetică: ce cotă de responsabilitate revine utilizatorului, față de furnizorul de servicii, atunci când acreditările sunt umplute?
„Toată lumea ar trebui să știe mai bine decât să folosească o acreditare neigienică”, spune Steve Moore, vicepreședinte și strateg șef de securitate la Exabeam. „Dar, în același timp, organizația care furnizează serviciul ar trebui să aibă capacități de a limita riscul acestui lucru.”
Motivul lui 23andMe
Grupul de utilizatori care dă în judecată 23andMe susține că compania a încălcat Legea privind drepturile de confidențialitate din California (CPRA), Legea privind confidențialitatea informațiilor medicale din California (CMIA) și Legea privind confidențialitatea informațiilor genetice din Illinois (GIPA) și a comis o serie de alte încălcări ale dreptului comun. .
Până la primul punct, au explicat avocații companiei, „utilizatorii au reciclat din neglijență și nu și-au actualizat parolele” în urma incidentelor anterioare care le-au afectat autentificarea, „care nu au legătură cu 23andMe. Prin urmare, incidentul nu a fost rezultatul presupusului eșec al 23andMe de a menține măsuri de securitate rezonabile în temeiul CPRA.” O logică similară se aplică GIPA, deși au adăugat că „23andMe nu crede că legea Illinois se aplică aici”.
23andMe nu a fost neapărat la înălțimea toate promisiunile sale înalte de securitate. Acestea fiind spuse, au existat caracteristici de securitate a contului disponibile clienților care ar fi putut împiedica umplerea acreditărilor, inclusiv verificarea în doi pași cu o aplicație de autentificare. Și, urmând cele ale companiei descoperirea inițială și notificarea publică, a implementat o serie de remedieri standard de securitate, inclusiv notificarea forțelor de ordine, încheierea tuturor sesiunilor de utilizatori activi și solicitarea tuturor utilizatorilor să-și reseteze parolele.
„La fel de important, informațiile care au fost potențial accesate nu pot fi folosite pentru nici un rău”, au scris avocații. „Informațiile de profil care ar fi putut fi accesate sunt legate de funcția ADN Relatives, pe care un client o creează și alege să o partajeze cu alți utilizatori pe platforma 23andMe” și „informațiile pe care actorul neautorizat le-a putut obține despre reclamanți nu ar fi putut fi folosite pentru a cauza un prejudiciu material (nu includea numărul lor de securitate socială, numărul permisului de conducere sau orice informație financiară sau de plată).”
natura datelor furate de asemenea, reduce CMIA, explică scrisoarea, deoarece „nu a constituit „informații medicale”, deși erau identificabile individual).”
Cine este responsabil atunci când se scurg acreditările?
Conturile 23andMe nu sunt în mod unic nesigure. „Orice organizație la care vă puteți gândi care are un portal pentru clienți, indiferent dacă doresc să recunoască sau nu, are această problemă, dar nu întotdeauna la această scară”, spune Moore.
Astfel, apare o problemă mai largă, mai profundă. Orice parolă reutilizată poate fi pusă pe seama utilizatorului său, dar, știind că practica este endemic pe Web, o oarecare responsabilitate pentru protejarea conturilor revine apoi furnizorului de servicii?
„Cred că răspunderea este împărțită. Și acesta nu este un răspuns distractiv”, recunoaște Moore.
Pe de o parte, utilizatorii au un lista de rufe cu cele mai bune practici pe care se pot baza pentru a face preluarea conturilor nu imposibilă, dar cel puțin foarte dificilă.
În același timp, subliniază Moore, companiile trebuie să își exercite propria putere pentru a-și proteja clienții, cu numeroasele instrumente pe care le au la dispoziție. Dincolo de a oferi (sau de a solicita) autentificare cu mai mulți factori, site-urile pot impune praguri puternice de parole și pot oferi notificări utilizatorilor atunci când conectările au loc din locuri neobișnuite sau la frecvențe neobișnuite. „Atunci, din punct de vedere legal: ce spun termenii și politica dumneavoastră de utilizare acceptabilă? Când un utilizator acceptă un acord, care este de acord că va fi igiena lui?” el intreaba.
„Cred că ar trebui să existe o carte de drepturi a clientului în acest sens care să spună că, dacă gestionați informații personale sensibile, portalurile pentru clienți trebuie să ofere o modalitate de a verifica acreditările solide, o modalitate de a verifica încălcările cunoscute și o modalitate de a vă asigura că aveți autentificare adaptivă sau multifactor care nu utilizează mijloace falibile precum SMS-urile. Apoi putem spune: aceasta este cerința minimă”, spune el.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :are
- :este
- :nu
- $UP
- 000
- 14
- a
- Despre Noi
- acceptabil
- acceptă
- acces
- accesate
- Cont
- preluarea contului
- Conturi
- peste
- act
- activ
- adaptivă
- adăugat
- admite
- care afectează
- împotriva
- Acord
- TOATE
- pretins
- de asemenea
- mereu
- an
- și
- răspunde
- Orice
- aplicaţia
- se aplică
- SUNT
- susține
- argument
- AS
- At
- Autentificare
- disponibil
- BE
- fost
- Crede
- CEL MAI BUN
- Mai bine
- Dincolo de
- Proiect de lege
- biotehnologiei
- companie de biotehnologie
- încălcarea
- încălcări
- mai larg
- dar
- by
- California
- CAN
- nu poti
- capacități
- caz
- Provoca
- verifica
- şef
- comise
- Comun
- Companii
- companie
- confidențialitate
- constitui
- ar putea
- Instanțe
- creează
- CREDENTIALĂ
- umplutură credențială
- scrisori de acreditare
- client
- clienţii care
- Securitate cibernetică
- de date
- Mai adânc
- FĂCUT
- nu
- dificil
- reduceri
- descoperire
- dispoziție
- ADN-ul
- do
- face
- nu
- şofer
- aplica
- executare
- la fel de
- Eter (ETH)
- Chiar
- toată lumea
- a explicat
- explică
- expus
- A eșuat
- Eșec
- Cădea
- Caracteristică
- DESCRIERE
- financiar
- informatie financiara
- First
- următor
- Pentru
- din
- distracţie
- genetic
- obține
- merge
- grup
- hackeri
- mână
- rău
- Avea
- he
- aici
- HTTPS
- i
- if
- Illinois
- implementat
- important
- imposibil
- incident
- incidente
- include
- Inclusiv
- Individual
- industrie
- informații
- nesigur
- in schimb
- intern
- problema
- IT
- ESTE
- jpg
- doar
- Cunoaște
- Cunoaștere
- cunoscut
- Nume
- Drept
- de aplicare a legii
- Procese
- avocaţi
- scăpa
- cel mai puțin
- Legal
- scrisoare
- răspundere
- Licență
- se află
- ca
- LIMITĂ
- Listă
- înalt
- logică
- Conectări
- menține
- face
- de conducere
- multe
- Mai..
- mijloace
- măsuri
- medical
- ar putea
- milion
- milioane
- minim
- mai mult
- autentificare multi-factor
- trebuie sa
- aproape
- în mod necesar
- Nevoie
- Înștiințare..
- sesizând
- număr
- obținut
- avea loc
- of
- oferi
- oferind
- on
- ONE
- atac violent
- or
- organizație
- Altele
- afară
- propriu
- Parolă
- Parolele
- plată
- personal
- Locuri
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Punct
- puncte
- Politica
- Portal
- potenţial
- putere
- practică
- preşedinte
- prevenite
- anterior
- intimitate
- Problemă
- Profil
- proteja
- protectoare
- furniza
- furnizorul
- furnizează
- public
- întrebare
- ridică
- RE
- rezonabil
- înregistrări
- reciclate
- legate de
- rude
- se bazează
- reprezentând
- cerință
- responsabilitate
- responsabil
- rezultat
- Drepturile
- Risc
- s
- Said
- acelaşi
- Spune
- spune
- Scară
- securitate
- Măsuri de securitate
- sensibil
- trimis
- serie
- serviciu
- Furnizor de servicii
- Sesiunile
- Șapte
- Distribuie
- comun
- partajarea
- să
- asemănător
- teren
- Centre de cercetare
- SMS-uri
- Social
- unele
- standard
- punct de vedere
- Steve
- furate
- Strateg
- puternic
- umplutură
- sigur
- sisteme
- T
- preluare
- TechCrunch
- termeni
- punct de vedere al serviciului
- decât
- acea
- informațiile
- lor
- apoi
- Acolo.
- prin urmare
- ei
- crede
- acest
- deşi?
- Prin
- timp
- la
- Unelte
- neautorizat
- în
- unic
- Ciudat
- Actualizează
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosind
- Verificare
- Impotriva
- foarte
- viciu
- Vicepreședinte
- a încălcat
- încălcări
- vrea
- a fost
- Cale..
- we
- BINE
- au fost
- Ce
- indiferent de
- cand
- dacă
- care
- cu
- scris
- tu
- Ta
- zephyrnet