Несмотря на волну судебных исков, 23andMe отрицает ответственность за утечку генетических записей миллионов пользователей прошлой осенью.
In письмо, отправленное группе пользователей Подавая в суд на компанию, полученную TechCrunch, юристы, представляющие биотехнологическую компанию, изложили аргументы в пользу того, что пользователи несут ответственность за любые данные, которые могли быть раскрыты.
Как это было показал в прошлом месяцехакеры не взломали внутренние системы компании. Вместо этого они получили доступ примерно к 14,000 XNUMX учетным записям, используя вброс учетных данных, а затем получили доступ к данным еще почти семи миллионов человек через дополнительную функцию сайта по обмену ДНК-родственниками.
Этот аргумент поднимает важный вопрос для судов, а также для всей отрасли кибербезопасности в целом: какая доля ответственности лежит на пользователе, а не на поставщике услуг, когда учетные данные подставляются?
«Каждый должен знать, что лучше не использовать негигиеничные учетные данные», — говорит Стив Мур, вице-президент и главный стратег безопасности Exabeam. «Но в то же время организация, предоставляющая услугу, должна иметь возможности ограничить такой риск».
Обоснование 23andMe
Группа пользователей, подающая в суд 23andMe, утверждает, что компания нарушила Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA), Закон штата Калифорния о конфиденциальности медицинской информации (CMIA) и Закон штата Иллинойс о конфиденциальности генетической информации (GIPA), а также совершила ряд других нарушений общего права. .
В первую очередь, как объяснили юристы компании, «пользователи по неосторожности переработали и не обновили свои пароли» после предыдущих инцидентов, затронувших их логины, «которые не связаны с 23andMe. Таким образом, инцидент не был результатом предполагаемой неспособности 23andMe обеспечить разумные меры безопасности в соответствии с CPRA». Аналогичная логика применима и к GIPA, хотя они добавили, что «23andMe не считает, что здесь применимы законы штата Иллинойс».
23andMe не обязательно соответствует все его высокие обещания в области безопасности. При этом клиентам были доступны функции безопасности учетной записи, которые могли предотвратить подтасовку учетных данных, включая двухэтапную проверку с помощью приложения-аутентификатора. И, следуя за компанией первоначальное обнаружение и публичное уведомление, он реализовал ряд стандартных мер безопасности, включая уведомление правоохранительных органов, завершение всех активных пользовательских сеансов и требование от всех пользователей сбросить свои пароли.
«Не менее важно и то, что информация, к которой потенциально был получен доступ, не может быть использована во вред», — написали юристы. «Информация профиля, к которой мог быть получен доступ, связана с функцией «ДНК-родственники», которую клиент создает и решает поделиться с другими пользователями на платформе 23andMe», а также «информация, которую потенциально получил несанкционированный субъект об истцах, не могла быть использована для причинить материальный ущерб (в него не был включен номер социального страхования, номер водительского удостоверения или какая-либо платежная или финансовая информация)».
Ассоциация характер украденных данных также не учитывается CMIA, поясняется в письме, поскольку она «не представляет собой «медицинскую информацию», даже несмотря на то, что ее можно идентифицировать индивидуально).
Кто несет ответственность в случае утечки учетных данных?
Учетные записи 23andMe не являются однозначно небезопасными. «Любая организация, о которой вы только можете подумать, у которой есть клиентский портал, хотят они этого признать или нет, сталкивается с этой проблемой, но не всегда в таком масштабе», — говорит Мур.
Таким образом, возникает более широкая и глубокая проблема. В любом повторно используемом пароле можно обвинить его пользователя, но, зная, что практика распространенный в Интернете, возлагается ли тогда на поставщика услуг некоторая ответственность за защиту учетных записей?
«Ответственность, я думаю, общая. И это невеселый ответ», — признает Мур.
С одной стороны, у пользователей есть список лучших практик стирки на них можно положиться, чтобы сделать захват учетных записей не невозможным, а, по крайней мере, очень трудным.
В то же время, отмечает Мур, компаниям необходимо использовать свои собственные силы для защиты своих клиентов, используя множество инструментов, имеющихся в их распоряжении. Помимо предложения (или требования) многофакторной аутентификации, сайты могут устанавливать надежные пороговые значения пароля и уведомлять пользователей, когда вход в систему происходит из необычных мест или с необычной частотой. «Тогда с юридической точки зрения: что говорится в ваших условиях обслуживания и политике допустимого использования? Когда пользователь принимает соглашение, каким он должен быть в плане гигиены?» он спрашивает.
«Я думаю, что в этом отношении должен быть билль о правах клиента, в котором говорится, что если вы управляете конфиденциальной личной информацией, клиентские порталы должны предлагать способ проверки надежных учетных данных, способ проверки на наличие известных нарушений и способ убедиться у вас есть адаптивная аутентификация или многофакторная аутентификация, которая не использует ошибочные средства, такие как SMS. Тогда мы сможем сказать: это минимальное требование», — говорит он.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :имеет
- :является
- :нет
- $UP
- 000
- 14
- a
- О нас
- приемлемый
- Принимает
- доступ
- Доступ
- Учетная запись
- захват аккаунта
- Учетные записи
- через
- Действие (Act):
- активный
- адаптивный
- добавленный
- признавать
- затрагивающий
- против
- ДОГОВОР
- Все
- утверждаемый
- причислены
- всегда
- an
- и
- ответ
- любой
- приложение
- применяется
- МЫ
- Утверждает
- аргумент
- AS
- At
- Аутентификация
- доступен
- BE
- было
- верить
- ЛУЧШЕЕ
- Лучшая
- Beyond
- Билл
- биотехнологии
- биотехнологическая компания
- нарушение
- нарушения
- шире
- но
- by
- Калифорния
- CAN
- не могу
- возможности
- случаев
- Вызывать
- проверка
- главный
- привержен
- Общий
- Компании
- Компания
- конфиденциальность
- составлять
- может
- Суды
- создает
- ПОЛНОМОЧИЯ
- учетная информация
- Полномочия
- клиент
- Клиенты
- Информационная безопасность
- данным
- более глубокий
- DID
- А не было
- трудный
- скидки
- открытие
- распоряжение
- Г-жа
- do
- приносит
- Безразлично
- водитель
- обеспечивать соблюдение
- принуждение
- одинаково
- Эфир (ETH)
- Даже
- все члены
- объяснены
- Объясняет
- подвергаться
- Oшибка
- Ошибка
- Осень
- Особенность
- Особенности
- финансовый
- финансовая информация
- First
- после
- Что касается
- от
- fun
- генетический
- получить
- будет
- группы
- Хакеры
- рука
- вред
- Есть
- he
- здесь
- HTTPS
- i
- if
- Иллинойс
- в XNUMX году
- важную
- что она
- инцидент
- инцидентов
- включают
- В том числе
- в отдельности
- промышленность
- информация
- небезопасный
- вместо
- в нашей внутренней среде,
- вопрос
- IT
- ЕГО
- JPG
- всего
- Знать
- знание
- известный
- Фамилия
- закон
- правоохранительной
- Судебные
- Адвокаты
- утечка
- наименее
- Юр. Информация
- письмо
- ответственность
- Лицензия
- лежит
- такое как
- ОГРАНИЧЕНИЯ
- Список
- возвышенный
- логика
- логины
- поддерживать
- сделать
- управления
- многих
- Май..
- означает
- меры
- основным медицинским
- может быть
- миллиона
- миллионы
- минимальный
- БОЛЕЕ
- многофакторная аутентификация
- должен
- почти
- обязательно
- Необходимость
- Уведомление..
- уведомляющее
- номер
- полученный
- происходить
- of
- предлагают
- предлагающий
- on
- ONE
- натиск
- or
- организация
- Другое
- внешний
- собственный
- Пароль
- пароли
- оплата
- личного
- Мест
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- пунктов
- политика
- Портал
- потенциально
- мощностью
- практика
- президент
- предотвратить
- Предварительный
- политикой конфиденциальности.
- Проблема
- Профиль
- для защиты
- защищающий
- обеспечивать
- Недвижимости
- приводит
- что такое варган?
- вопрос
- повышения
- RE
- разумный
- учет
- переработанных
- Связанный
- родственники
- полагаться
- представляющий
- требование
- ответственность
- ответственный
- результат
- правые
- Снижение
- s
- Сказал
- то же
- сообщили
- говорит
- Шкала
- безопасность
- Меры безопасности
- чувствительный
- послать
- Серии
- обслуживание
- Провайдер услуг
- сессиях
- семь
- Поделиться
- общие
- разделение
- должен
- аналогичный
- сайте
- Сайтов
- SMS
- Соцсети
- некоторые
- стандарт
- точка зрения
- Стив
- украли
- Стратег
- сильный
- начинка
- Убедитесь
- системы
- T
- поглощение
- TechCrunch
- terms
- Условия предоставления услуг
- чем
- который
- Ассоциация
- информация
- их
- тогда
- Там.
- следовательно
- они
- think
- этой
- хоть?
- Через
- время
- в
- инструменты
- неразрешенный
- под
- общественного.
- необычный
- Обновление ПО
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- проверка
- Против
- очень
- вице
- вице-президент
- нарушаться
- Нарушения
- хотеть
- законопроект
- Путь..
- we
- ЧТО Ж
- были
- Что
- любой
- когда
- будь то
- который
- писал
- являетесь
- ВАШЕ
- зефирнет