จากการโจมตีของการฟ้องร้อง 23andMe กำลังปฏิเสธความรับผิดต่อบันทึกทางพันธุกรรมของผู้ใช้หลายล้านรายที่รั่วไหลออกมาเมื่อฤดูใบไม้ร่วงปีที่แล้ว
In จดหมายที่ส่งถึงกลุ่มผู้ใช้ ทนายความที่เป็นตัวแทนของบริษัทเทคโนโลยีชีวภาพฟ้องร้องบริษัทที่ TechCrunch กล่าวหาว่าผู้ใช้ต้องตำหนิข้อมูลใดก็ตามที่อาจถูกเปิดเผย
เหมือนเดิม เปิดเผยเมื่อเดือนที่แล้วแฮกเกอร์ไม่ได้ละเมิดระบบภายในของบริษัท แต่พวกเขาสามารถเข้าถึงบัญชีประมาณ 14,000 บัญชีโดยใช้การกรอกข้อมูลประจำตัว จากนั้นจึงเข้าถึงข้อมูลจากอีกเกือบ XNUMX ล้านบัญชีผ่านฟีเจอร์การแบ่งปัน DNA Relatives ซึ่งเป็นตัวเลือกของเว็บไซต์
ข้อโต้แย้งทำให้เกิดคำถามที่สำคัญสำหรับศาล เช่นเดียวกับอุตสาหกรรมความปลอดภัยทางไซเบอร์ในวงกว้าง: ส่วนแบ่งความรับผิดชอบของผู้ใช้เทียบกับผู้ให้บริการเมื่อข้อมูลประจำตัวถูกยัด?
“ทุกคนควรรู้ดีกว่าการใช้ข้อมูลประจำตัวที่ไม่ถูกสุขลักษณะ” Steve Moore รองประธานและหัวหน้านักยุทธศาสตร์ด้านความปลอดภัยของ Exabeam กล่าว “แต่ในขณะเดียวกัน องค์กรที่ให้บริการก็ควรมีความสามารถในการจำกัดความเสี่ยงดังกล่าว”
เหตุผลของ 23andMe
กลุ่มผู้ใช้ที่ฟ้องร้อง 23andMe โต้แย้งว่าบริษัทละเมิดกฎหมายสิทธิความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย (CPRA) พระราชบัญญัติการรักษาความลับของข้อมูลทางการแพทย์ของรัฐแคลิฟอร์เนีย (CMIA) และกฎหมายความเป็นส่วนตัวของข้อมูลทางพันธุกรรมของรัฐอิลลินอยส์ (GIPA) และกระทำการละเมิดกฎหมายทั่วไปอื่นๆ อีกจำนวนหนึ่ง .
ในประเด็นแรก ทนายความของบริษัทอธิบายว่า “ผู้ใช้รีไซเคิลโดยประมาทเลินเล่อและไม่สามารถอัปเดตรหัสผ่านของตนได้” หลังจากเหตุการณ์ก่อนหน้านี้ที่ส่งผลกระทบต่อการเข้าสู่ระบบของพวกเขา “ซึ่งไม่เกี่ยวข้องกับ 23andMe ดังนั้น เหตุการณ์ดังกล่าวไม่ได้เป็นผลมาจากความล้มเหลวที่ถูกกล่าวหาของ 23andMe ในการรักษามาตรการรักษาความปลอดภัยที่เหมาะสมภายใต้ CPRA” ตรรกะที่คล้ายกันนี้ใช้กับ GIPA แม้ว่าพวกเขาจะเสริมว่า “23andMe ไม่เชื่อว่ากฎหมายของรัฐอิลลินอยส์มีผลบังคับใช้ที่นี่”
23andMe ไม่จำเป็นต้องเป็นไปตามนั้น คำมั่นสัญญาด้านความปลอดภัยอันสูงส่งทั้งหมด. ด้วยเหตุนี้ ลูกค้าจึงมีฟีเจอร์การรักษาความปลอดภัยของบัญชีซึ่งอาจป้องกันการยัดข้อมูลประจำตัวได้ รวมถึงการยืนยันแบบสองขั้นตอนด้วยแอปตรวจสอบความถูกต้อง และเป็นไปตามของบริษัท การค้นพบครั้งแรกและประกาศสาธารณะได้ใช้ชุดการแก้ไขความปลอดภัยมาตรฐาน รวมถึงการแจ้งหน่วยงานบังคับใช้กฎหมาย การยกเลิกเซสชันผู้ใช้ที่ใช้งานอยู่ทั้งหมด และกำหนดให้ผู้ใช้ทั้งหมดรีเซ็ตรหัสผ่านของตน
“สิ่งสำคัญพอๆ กัน คือข้อมูลที่เข้าถึงได้จะไม่สามารถนำมาใช้เพื่อความเสียหายใดๆ ได้” ทนายความเขียน “ข้อมูลโปรไฟล์ที่อาจเข้าถึงได้เกี่ยวข้องกับฟีเจอร์ DNA Relatives ซึ่งลูกค้าสร้างและเลือกที่จะแบ่งปันกับผู้ใช้รายอื่นบนแพลตฟอร์มของ 23andMe” และ “ข้อมูลที่นักแสดงที่ไม่ได้รับอนุญาตอาจได้รับเกี่ยวกับโจทก์ไม่สามารถนำมาใช้ได้ ก่อให้เกิดความเสียหายทางการเงิน (ไม่รวมถึงหมายเลขประกันสังคม หมายเลขใบขับขี่ หรือการชำระเงินหรือข้อมูลทางการเงิน)”
พื้นที่ ลักษณะของข้อมูลที่ถูกขโมย ยังให้ส่วนลด CMIA อีกด้วย จดหมายอธิบาย เนื่องจาก "ไม่ถือเป็น 'ข้อมูลทางการแพทย์' แม้ว่าจะสามารถระบุตัวตนได้เป็นรายบุคคลก็ตาม)"
ใครเป็นผู้รับผิดชอบเมื่อข้อมูลรับรองรั่วไหล?
บัญชี 23andMe ไม่ได้มีความไม่ปลอดภัยแต่อย่างใด “องค์กรใดก็ตามที่คุณคิดว่ามีพอร์ทัลลูกค้า ไม่ว่าพวกเขาจะต้องการยอมรับหรือไม่ก็ตาม ก็ประสบปัญหานี้ แต่ก็ไม่ได้อยู่ในระดับนี้เสมอไป” มัวร์กล่าว
จึงมีประเด็นที่กว้างกว่าและลึกกว่าเกิดขึ้น รหัสผ่านที่ใช้ซ้ำใดๆ ก็ตามสามารถถูกตำหนิกับผู้ใช้ได้ แต่ต้องรู้ว่าแนวทางปฏิบัตินั้นเป็นเช่นนั้น ประจำถิ่นทั่วทั้งเว็บความรับผิดชอบในการปกป้องบัญชีบางส่วนตกเป็นของผู้ให้บริการหรือไม่
“ผมคิดว่าความรับผิดชอบมีการแบ่งปันกัน และนั่นไม่ใช่คำตอบที่น่าสนุก” มัวร์ยอมรับ
ในด้านหนึ่ง ผู้ใช้มี รายการแนวทางปฏิบัติที่ดีที่สุดสำหรับการซักรีด พวกเขาสามารถพึ่งพาการทำให้การครอบครองบัญชีเป็นไปไม่ได้ แต่อย่างน้อยก็ยากมาก
ในเวลาเดียวกัน Moore ชี้ให้เห็นว่าบริษัทต่างๆ จำเป็นต้องใช้อำนาจของตนเองในการปกป้องลูกค้าของตน โดยมีเครื่องมือมากมายที่พวกเขามี นอกเหนือจากการเสนอ (หรือต้องการ) การตรวจสอบสิทธิ์แบบหลายปัจจัยแล้ว ไซต์ยังสามารถบังคับใช้เกณฑ์รหัสผ่านที่รัดกุม และแจ้งให้ผู้ใช้ทราบเมื่อการเข้าสู่ระบบเกิดขึ้นจากสถานที่ที่ผิดปกติหรือที่ความถี่ที่ผิดปกติ “แล้วจากมุมมองทางกฎหมาย: ข้อกำหนดในการให้บริการและนโยบายการใช้งานที่ยอมรับได้ของคุณบอกว่าอย่างไร? เมื่อผู้ใช้ยอมรับข้อตกลง พวกเขาตกลงว่าสุขอนามัยของพวกเขาจะเป็นอย่างไร” เขาถาม.
“ผมคิดว่าควรจะมีสิทธิ์ของลูกค้าในเรื่องนี้ที่ระบุว่าหากคุณจัดการข้อมูลส่วนบุคคลที่ละเอียดอ่อน พอร์ทัลลูกค้าจะต้องเสนอวิธีการตรวจสอบข้อมูลประจำตัวที่รัดกุม วิธีตรวจสอบการละเมิดที่ทราบ และวิธีการตรวจสอบให้แน่ใจ คุณมีการตรวจสอบสิทธิ์แบบปรับเปลี่ยนได้หรือมีหลายปัจจัยที่ไม่ใช้วิธีที่ผิดพลาด เช่น SMS จากนั้นเราสามารถพูดได้ว่า: นี่คือข้อกำหนดขั้นต่ำ” เขากล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 000
- 14
- a
- เกี่ยวกับเรา
- ยอมรับได้
- ยอมรับ
- เข้า
- Accessed
- ลงชื่อเข้าใช้
- การครอบครองบัญชี
- บัญชี
- ข้าม
- กระทำ
- คล่องแคล่ว
- ปรับได้
- ที่เพิ่ม
- ยอมรับ
- น่าสงสาร
- กับ
- ข้อตกลง
- ทั้งหมด
- ถูกกล่าวหา
- ด้วย
- เสมอ
- an
- และ
- คำตอบ
- ใด
- app
- มีผลบังคับใช้
- เป็น
- ระบุ
- อาร์กิวเมนต์
- AS
- At
- การยืนยันตัวตน
- ใช้ได้
- BE
- รับ
- เชื่อ
- ที่ดีที่สุด
- ดีกว่า
- เกิน
- บิล
- เทคโนโลยีชีวภาพ
- บริษัทเทคโนโลยีชีวภาพ
- ช่องโหว่
- การละเมิด
- ที่กว้างขึ้น
- แต่
- by
- แคลิฟอร์เนีย
- CAN
- ไม่ได้
- ความสามารถในการ
- กรณี
- ก่อให้เกิด
- ตรวจสอบ
- หัวหน้า
- มุ่งมั่น
- ร่วมกัน
- บริษัท
- บริษัท
- ความลับ
- เป็น
- ได้
- ศาล
- สร้าง
- หนังสือรับรอง
- หนังสือรับรองการบรรจุ
- หนังสือรับรอง
- ลูกค้า
- ลูกค้า
- cybersecurity
- ข้อมูล
- ลึก
- DID
- didn
- ยาก
- ส่วนลด
- การค้นพบ
- การกำจัด
- ดีเอ็นเอ
- do
- ทำ
- doesn
- คนขับรถ
- บังคับใช้
- การบังคับใช้
- พอ ๆ กัน
- อีเธอร์ (ETH)
- แม้
- ทุกคน
- อธิบาย
- อธิบาย
- ที่เปิดเผย
- ล้มเหลว
- ความล้มเหลว
- ตก
- ลักษณะ
- คุณสมบัติ
- ทางการเงิน
- ข้อมูลทางการเงิน
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- ราคาเริ่มต้นที่
- สนุก
- ทางพันธุกรรม
- ได้รับ
- ไป
- บัญชีกลุ่ม
- แฮกเกอร์
- มือ
- อันตราย
- มี
- he
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- HTTPS
- i
- if
- อิลลินอยส์
- การดำเนินการ
- สำคัญ
- เป็นไปไม่ได้
- อุบัติการณ์
- เหตุการณ์ที่เกิดขึ้น
- ประกอบด้วย
- รวมทั้ง
- เป็นรายบุคคล
- อุตสาหกรรม
- ข้อมูล
- ไม่ปลอดภัย
- แทน
- ภายใน
- ปัญหา
- IT
- ITS
- jpg
- เพียงแค่
- ทราบ
- รู้ดี
- ที่รู้จักกัน
- ชื่อสกุล
- กฏหมาย
- การบังคับใช้กฎหมาย
- คดี
- ทนายความ
- รั่วไหล
- น้อยที่สุด
- กฎหมาย
- จดหมาย
- ความรับผิดชอบ
- License
- ตั้งอยู่
- กดไลก์
- LIMIT
- รายการ
- สูงส่ง
- ตรรกะ
- การเข้าสู่ระบบ
- เก็บรักษา
- ทำ
- การจัดการ
- หลาย
- อาจ..
- วิธี
- มาตรการ
- ทางการแพทย์
- อาจ
- ล้าน
- ล้าน
- ขั้นต่ำ
- ข้อมูลเพิ่มเติม
- การตรวจสอบหลายปัจจัย
- ต้อง
- เกือบทั้งหมด
- จำเป็นต้อง
- จำเป็นต้อง
- สังเกต..
- แจ้ง
- จำนวน
- ที่ได้รับ
- เกิดขึ้น
- of
- เสนอ
- การเสนอ
- on
- ONE
- การโจมตี
- or
- organizacja
- อื่นๆ
- ออก
- ของตนเอง
- รหัสผ่าน
- รหัสผ่าน
- การชำระเงิน
- ส่วนบุคคล
- สถานที่
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- จุด
- นโยบาย
- พอร์ทัล
- ที่อาจเกิดขึ้น
- อำนาจ
- การปฏิบัติ
- ประธาน
- ป้องกันไม่ให้เกิด
- ก่อน
- ความเป็นส่วนตัว
- ปัญหา
- โปรไฟล์
- ป้องกัน
- ปกป้อง
- ให้
- ผู้จัดหา
- ให้
- สาธารณะ
- คำถาม
- ยก
- RE
- เหมาะสม
- บันทึก
- ใช้แล้ว
- ที่เกี่ยวข้อง
- ญาติพี่น้อง
- วางใจ
- เป็นตัวแทนของ
- ความต้องการ
- ความรับผิดชอบ
- รับผิดชอบ
- ผล
- สิทธิ
- ความเสี่ยง
- s
- กล่าวว่า
- เดียวกัน
- กล่าว
- พูดว่า
- ขนาด
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- มีความละเอียดอ่อน
- ส่ง
- ชุด
- บริการ
- ผู้ให้บริการ
- ครั้ง ราคา
- เจ็ด
- Share
- ที่ใช้ร่วมกัน
- ใช้งานร่วมกัน
- น่า
- คล้ายคลึงกัน
- เว็บไซต์
- สถานที่ทำวิจัย
- SMS
- สังคม
- บาง
- มาตรฐาน
- จุดยืน
- สตีฟ
- ที่ถูกขโมย
- นักยุทธศาสตร์
- แข็งแรง
- การบรรจุ
- แน่ใจ
- ระบบ
- T
- การครอบครอง
- TechCrunch
- เงื่อนไขการใช้บริการ
- เงื่อนไขการให้บริการ
- กว่า
- ที่
- พื้นที่
- ข้อมูล
- ของพวกเขา
- แล้วก็
- ที่นั่น
- ดังนั้น
- พวกเขา
- คิด
- นี้
- แต่?
- ตลอด
- เวลา
- ไปยัง
- เครื่องมือ
- ไม่มีสิทธิ
- ภายใต้
- ที่ไม่ซ้ำกัน
- ผิดปกติ
- บันทึก
- ใช้
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- การตรวจสอบ
- กับ
- มาก
- รอง
- Vice President
- ละเมิด
- การละเมิด
- ต้องการ
- คือ
- ทาง..
- we
- ดี
- คือ
- อะไร
- อะไรก็ตาม
- เมื่อ
- ว่า
- ที่
- กับ
- เขียน
- เธอ
- ของคุณ
- ลมทะเล