Mot en anstormning av stämningar förnekar 23andMe ansvar för miljontals användares genetiska uppgifter som läckte förra hösten.
In ett brev skickat till en grupp användare advokater som företräder bioteknikföretaget stämde företaget som TechCrunch fick, och lade fram ett fall där användarna var skyldiga till vilken data som helst som kunde ha avslöjats.
Som var avslöjade förra månadenbröt hackare inte mot företagets interna system. Istället fick de åtkomst till cirka 14,000 XNUMX konton med hjälp av inloggningsuppfyllning, och fick sedan åtkomst till data från nästan sju miljoner fler via sajtens valfria DNA-släktingsfunktion.
Argumentet väcker en viktig fråga för domstolar, såväl som den bredare cybersäkerhetsindustrin: Vilken del av ansvaret ligger på användaren, kontra tjänsteleverantören, när referenserna blir fyllda?
"Alla borde veta bättre än att använda en ohygienisk legitimation", säger Steve Moore, vicepresident och säkerhetsstrateg på Exabeam. "Men samtidigt borde organisationen som tillhandahåller tjänsten ha förmåga att begränsa risken för det."
23andMes motivering
Användargruppen som stämmer 23andMe hävdar att företaget brutit mot California Privacy Rights Act (CPRA), California Confidentiality of Medical Information Act (CMIA) och Illinois Genetic Information Privacy Act (GIPA) och begått ett antal andra brott mot allmän lag. .
Till den första punkten, förklarade företagets advokater, "användare återanvände oaktsamt och misslyckades med att uppdatera sina lösenord" efter tidigare incidenter som påverkade deras inloggningar, "som inte är relaterade till 23andMe. Därför var incidenten inte ett resultat av 23andMes påstådda underlåtenhet att upprätthålla rimliga säkerhetsåtgärder enligt CPRA. Liknande logik gäller för GIPA, även om de tillade att "23andMe tror inte att Illinois lag gäller här."
23andMe har inte nödvändigtvis levt upp till alla dess höga säkerhetslöften. Med det sagt fanns det kontosäkerhetsfunktioner tillgängliga för kunder som kan ha förhindrat fyllning av autentiseringsuppgifter, inklusive tvåstegsverifiering med en autentiseringsapp. Och följa företagets första upptäckten och offentliggörande, implementerade den en serie standardsäkerhetsåtgärder, inklusive att meddela brottsbekämpande myndigheter, avsluta alla aktiva användarsessioner och kräva att alla användare återställer sina lösenord.
"Lika viktigt är att informationen som potentiellt fick tillgång till inte kan användas för någon skada", skrev advokaterna. "Profilinformationen som kan ha nåtts hänför sig till funktionen DNA Relatives, som en kund skapar och väljer att dela med andra användare på 23andMes plattform," och "informationen som den obehöriga aktören potentiellt erhållit om målsägande kunde inte ha använts för att orsaka ekonomisk skada (den inkluderade inte deras personnummer, körkortsnummer eller någon betalningsinformation eller ekonomisk information)."
Smakämnen arten av de stulna uppgifterna rabatter också CMIA, förklarar brevet, eftersom det "inte utgjorde "medicinsk information" även om det var individuellt identifierbart)."
Vem är ansvarig när inloggningsuppgifter läcker?
23andMe-konton är inte unikt osäkra. "Varje organisation du kan tänka dig som har en kundportal, oavsett om de vill erkänna det eller inte, har det här problemet, bara inte alltid i den här skalan", säger Moore.
Därmed uppstår en bredare, djupare fråga. Alla återanvända lösenord kan skyllas på användaren, men att veta att praxis är det endemisk över webben, faller då visst ansvar för att skydda konton på tjänsteleverantören?
”Ansvaret tror jag är delat. Och det är inget roligt svar”, medger Moore.
Å ena sidan har användare en tvättlista med bästa praxis de kan lita på för att göra kontoövertagande inte omöjligt, men åtminstone mycket svårt.
Samtidigt, påpekar Moore, måste företag utöva sin egen makt för att skydda sina kunder, med de många verktyg de har till sitt förfogande. Utöver att erbjuda (eller kräva) multifaktorautentisering kan webbplatser tvinga fram starka lösenordströsklar och meddela användare när inloggningar sker från ovanliga platser eller vid ovanliga frekvenser. "Då ur juridisk synvinkel: Vad säger dina användarvillkor och policy för acceptabel användning? När en användare accepterar ett avtal, vad håller de med om att deras hygien kommer att vara?” han frågar.
"Jag tycker att det borde finnas en kunds rättighetsförklaring om detta som säger att om du hanterar känslig personlig information måste kundportaler erbjuda ett sätt att kontrollera efter starka referenser, ett sätt att kontrollera mot kända intrång och ett sätt att se till du har adaptiv autentisering eller multifaktor som inte använder felbara medel som SMS. Då kan vi säga: det här är minimikravet, säger han.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- : har
- :är
- :inte
- $UPP
- 000
- 14
- a
- Om oss
- godtagbart
- accepterar
- tillgång
- Accessed
- Konto
- kontot övertagande
- konton
- tvärs
- Agera
- aktiv
- adaptiv
- lagt till
- erkänna
- påverkar
- mot
- Avtal
- Alla
- påstådda
- också
- alltid
- an
- och
- svara
- vilken som helst
- app
- applicerar
- ÄR
- argumenterar
- Argumentet
- AS
- At
- Autentisering
- tillgänglig
- BE
- varit
- tro
- BÄST
- Bättre
- Bortom
- Bill
- biotech
- bioteknikföretag
- brott
- överträdelser
- bredare
- men
- by
- kalifornien
- KAN
- kan inte
- kapacitet
- Vid
- Orsak
- ta
- chef
- engagerad
- Gemensam
- Företag
- företag
- konfidentialitet
- utgöra
- kunde
- Domstolar
- skapar
- CREDENTIAL
- referensstoppning
- referenser
- kund
- Kunder
- Cybersäkerhet
- datum
- djupare
- DID
- didn
- svårt
- rabatter
- Upptäckten
- förfogande
- DNA-
- do
- gör
- doesn
- chaufför
- förstärka
- tillämpning
- lika
- Eter (ETH)
- Även
- alla
- förklarade
- Förklarar
- utsatta
- Misslyckades
- Misslyckande
- Höst
- Leverans
- Funktioner
- finansiella
- finansiell information
- Förnamn
- efter
- För
- från
- kul
- genetisk
- skaffa sig
- kommer
- Grupp
- hackare
- sidan
- skada
- Har
- he
- här.
- HTTPS
- i
- if
- Illinois
- genomföras
- med Esport
- omöjligt
- incident
- incidenter
- innefattar
- Inklusive
- Individuellt
- industrin
- informationen
- osäkra
- istället
- inre
- fråga
- IT
- DESS
- jpg
- bara
- Vet
- Menande
- känd
- Efternamn
- Lag
- brottsbekämpning
- Stämningar
- advokater
- läckage
- t minst
- Adress
- brev
- ansvar
- Licens
- ligger
- tycka om
- BEGRÄNSA
- Lista
- upphöjd
- Logiken
- inloggningar
- bibehålla
- göra
- hantera
- många
- Maj..
- betyder
- åtgärder
- medicinsk
- kanske
- miljon
- miljoner
- minsta
- mer
- multifaktorautentisering
- måste
- nästan
- nödvändigtvis
- Behöver
- Lägga märke till..
- anmälande
- antal
- erhållna
- inträffa
- of
- erbjudanden
- erbjuda
- on
- ONE
- angrepp
- or
- organisation
- Övriga
- ut
- egen
- Lösenord
- lösenord
- betalning
- personlig
- platser
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- poäng
- policy
- Portal
- potentiellt
- kraft
- praktiken
- VD
- förhindras
- Innan
- privatpolicy
- Problem
- Profil
- skydda
- skydda
- ge
- leverantör
- ger
- allmän
- fråga
- höjer
- RE
- rimlig
- register
- återvunnet
- relaterad
- anhöriga
- förlita
- representerar
- krav
- ansvaret
- ansvarig
- resultera
- rättigheter
- Risk
- s
- Nämnda
- Samma
- säga
- säger
- Skala
- säkerhet
- Säkerhetsåtgärder
- känslig
- skickas
- Serier
- service
- Leverantör
- sessioner
- sju
- Dela
- delas
- delning
- skall
- liknande
- webbplats
- Områden
- SMS
- Social hållbarhet
- några
- standard
- ståndpunkt
- Steve
- stulna
- Strateg
- stark
- fyllning
- säker
- System
- T
- övertagande
- TechCrunch
- villkor
- villkor för tjänsten
- än
- den där
- Smakämnen
- den information
- deras
- sedan
- Där.
- därför
- de
- tror
- detta
- fastän?
- Genom
- tid
- till
- verktyg
- obehörig
- under
- unikt
- ovanlig
- Uppdatering
- användning
- Begagnade
- Användare
- användare
- med hjälp av
- Verifiering
- Kontra
- mycket
- vice
- Vice President
- kränks
- Överträdelser
- vill
- var
- Sätt..
- we
- VÄL
- były
- Vad
- oberoende
- när
- om
- som
- med
- skrev
- dig
- Din
- zephyrnet