Γιατί η παραβίαση δεδομένων 23andMe είναι μια τέτοια καταστροφή

Νωρίτερα αυτή την εβδομάδα, το 23andMe παραδέχτηκε ότι ήταν ένα

hack

τον Οκτώβριο

δραματικά χειρότερο

από ό,τι παραδέχτηκε αρχικά η εταιρεία, επηρεάζοντας 6,9 εκατομμύρια ανθρώπους, όχι τους 14.000 που ανέφερε αρχικά.

Το

23andMe ακολούθησε ένα πρόωρο χριστουγεννιάτικο δώρο για τους χρήστες: μια ενημέρωση όρων παροχής υπηρεσιών που θα ανάγκαζε τους ανθρώπους να το κάνουν

παραιτηθεί από το δικαίωμα να μηνύσει την εταιρεία

. Τα κλεμμένα δεδομένα περιλαμβάνουν πλήρη ονόματα, γενετικές πληροφορίες και πολλά άλλα, αλλά παρά την ευαισθησία των πληροφοριών, ορισμένοι καταναλωτές απάντησαν με σήκωμα των ώμων. Σαν ένα


Ο χρήστης του TikTok σχολίασε ένα βίντεο


για το θέμα, «Τι θα κάνουν για να με κλωνοποιήσουν;»

Οι χάκερ πιθανότατα δεν θα χρησιμοποιήσουν τις πληροφορίες DNA σας για να σας κάνουν αδερφό που μεγαλώνει στο εργαστήριο, αλλά οι ειδικοί συμφωνούν: αυτό το hack είναι μια καταστροφή.

«Η αλήθεια είναι ότι κανένας από εμάς δεν γνωρίζει πλήρως τις συνέπειες αυτής της παραβίασης σήμερα, παρά μόνο η βεβαιότητα ότι θα χειροτερέψει με την πάροδο του χρόνου», δήλωσε ο Albert Fox Cahn, Εκτελεστικός Διευθυντής του Έργου επιτήρησης τεχνολογίας επιτήρησης. «Η ικανότητα να οπλίζει κανείς τα δεδομένα του DNA θα γίνει πιο έντονη όσο οι υπολογιστές γίνονται πιο ισχυροί. Από τα προφίλ υγείας μας μέχρι τα οικογενειακά μας δέντρα μέχρι πολύ πιο λεπτές λεπτομέρειες της βιολογίας μας, αυτό το hack θα μπορούσε ενδεχομένως να αποκαλύψει τόσα πολλά».

Σύμφωνα με έναν εκπρόσωπο του 23andMe, οι χάκερ έκλεψαν δεδομένα, όπως ονόματα ανθρώπων, έτος γέννησης, ετικέτες σχέσεων, όνομα οικογένειας και τοποθεσία. Επιπλέον 1,4 εκατομμύρια άνθρωποι που συμμετείχαν στο DNA Συγγενείς «είχαν επίσης πρόσβαση στις πληροφορίες του προφίλ τους στο Οικογενειακό Δέντρο». Το χειρότερο, ωστόσο, ήταν οι γενετικές πληροφορίες. Όχι μόνο οι χάκερ έκλεψαν πληροφορίες σχετικά με το ποσοστό των χρηστών DNA που μοιράζονταν με συγγενείς, αλλά το 23andMe διέρρευσε επίσης αναφορές καταγωγής και αντίστοιχα τμήματα DNA (συγκεκριμένα πού στα χρωμοσώματά τους αυτοί και οι συγγενείς τους είχαν αντίστοιχο DNA).

Φαίνεται ότι αυτά τα δεδομένα είναι ήδη προς πώληση.


Ενσύρματο


ανέφερε τον Οκτώβριο ότι ένας χρήστης διαφήμισε κλεμμένα δεδομένα του 23andMe σε ένα γνωστό φόρουμ hacking κατά τη διάρκεια της παραβίασης δεδομένων. Ο χρήστης δημοσίευσε τα υποτιθέμενα δεδομένα ενός εκατομμυρίου χρηστών εβραϊκής καταγωγής Ασκενάζι και 100.000 Κινέζων χρηστών του 23andMe ως απόδειξη, ζητώντας από 1 έως 10 $ ανά άτομο στο σύνολο δεδομένων.

Γενικά, οι εταιρείες έχουν νομική υποχρέωση να προστατεύουν τους πελάτες τους από παραβιάσεις δεδομένων. Το χακάρισμα του 23andMe θα μπορούσε να εκθέσει την εταιρεία σε αγωγές, αλλά η νομική ομάδα της εξέδωσε μια γρήγορη ενημέρωση για να το αποτρέψει.

Το 23andMe δεν απάντησε αμέσως σε αίτημα για σχόλιο.

Η εταιρεία δημοσίευσε μια ενημέρωση όρων παροχής υπηρεσιών την περασμένη εβδομάδα (συμπτωματικά, περίπου τη στιγμή που ενημέρωσε την Επιτροπή Κεφαλαιαγοράς για την κατάρρευση της πειρατείας). Η ενημέρωση πολιτικής αναγκάζει τους χρήστες σε μια δεσμευτική διαιτησία, η οποία είναι ένα μέσο για την επίλυση διαφορών εκτός δικαστηρίου, όπως αναφέρθηκε αρχικά από


Ημερολόγιο στοίβας


. Το 23andMe απαγορεύει συγκεκριμένα μια ομαδική αγωγή κατά της εταιρείας, εκτός εάν κάθε άτομο επιλέξει να αποχωρήσει από τη διαιτησία. Εάν είστε άτομο που επηρεάζεται, μπορείτε να εξαιρεθείτε στέλνοντας email στο
εντός 30 ημερών, δηλαδή στις 30 Δεκεμβρίου. Αυτή η λεπτομέρεια βρίσκεται στο κάτω μέρος της πέμπτης ενότητας για τους ενημερωμένους όρους παροχής υπηρεσιών.

Για πολλούς, είναι δύσκολο να κατανοήσουν ακριβώς γιατί έχει σημασία ότι όλα αυτά τα δεδομένα κυκλοφορούν στο διαδίκτυο. Οι εισβολές και οι παραβιάσεις συμβαίνουν συνεχώς, για να μην αναφέρουμε τα τρισεκατομμύρια σημείων δεδομένων που εταιρίες όπως η Google και η

Meta

ολοκληρώνονται με πιο «νόμιμα» μέσα.

Το πρόβλημα, λένε οι ειδικοί, είναι ότι σπάνια αισθάνεσαι άμεσα τις συνέπειες. Τα προσωπικά σας στοιχεία χρησιμοποιούνται με περίπλοκους και ασαφείς τρόπους για κάθε είδους σκοπούς πίσω από κλειστές πόρτες. Έχει δραματικές επιπτώσεις στη ζωή σου, απλά ποτέ δεν ξέρεις ποια δεδομένα ευθύνονται για κάποιο συγκεκριμένο δίλημμα.

«Μεγέθυνση στο μεγαλύτερο σύστημα εμπορικού προφίλ, έχει πραγματικά αντίκτυπο στην απώλεια ευκαιριών μερικές φορές», είπε στο Gizmodo η Suzanne Bernstein, νομικός συνεργάτης στο Electronic Privacy Information Center. «Τα δεδομένα που συλλέγονται από εσάς καθορίζουν τι σας προσφέρεται ή τι δεν σας προσφέρεται. Αυτό μπορεί να είναι κάτι αβλαβές, όπως ποιες στοχευόμενες διαφημίσεις βλέπετε ή ποιες εκρήξεις email λαμβάνετε, αλλά επιτρέπει επίσης τις διακρίσεις».

Στο παρελθόν, τα δεδομένα καταναλωτών χρησιμοποιήθηκαν για τον αποκλεισμό ορισμένων δημογραφικών στοιχείων από ευκαιρίες εργασίας ή άδεια διαμερίσματα. Οι προσωπικές πληροφορίες που κυκλοφορούν στο διαδίκτυο χρησιμοποιούνται σε αποφάσεις πρόσληψης και αιτήσεις πίστωσης, ενώ οι ασφαλιστικές εταιρείες τις χρησιμοποιούν ακόμη και για να ορίσουν ασφάλιστρα. Και, φυσικά, όσο πιο λεπτομερείς πληροφορίες μπορούν να βρουν οι εγκληματίες, τόσο πιο πιθανό είναι να πέσετε θύμα κλοπής ταυτότητας.

Οι γενετικές πληροφορίες μπορεί να φαίνονται αποκομμένες από αυτά τα προβλήματα, αλλά δεν είναι.

Δεν μπορείτε να αλλάξετε τις γενετικές σας πληροφορίες, επομένως είναι ευαίσθητο από μόνο του, είπε ο Bernstein. «Αλλά μπορεί επίσης να χρησιμοποιηθεί για την εξαγωγή συμπερασμάτων σχετικά με άλλες πληροφορίες υγείας, όπως μια διάγνωση ή ιατρικό οικογενειακό ιστορικό», είπε. «Υπάρχει σοβαρός

κίνδυνος

να γίνει αυτό μέρος του προφίλ που συμβαίνει στο ευρύτερο οικοσύστημα».

Και αυτό μόνο επηρεάζει τους τρόπους με τους οποίους γνωρίζουμε ότι οι πληροφορίες DNA μπορούν να χρησιμοποιηθούν σήμερα. Η επιστήμη των γονιδίων είναι ένα ταχέως αναπτυσσόμενο πεδίο. Δεν είναι γνωστό τι θα μπορούσε να αποκαλύψει αυτές οι πληροφορίες στο μέλλον.

«Το απόρρητο και η επιτήρηση είναι σε μεγάλο βαθμό συναφείς με τα συμφραζόμενα και καθώς αναπτύσσονται νέες τεχνολογίες γενετικής ανάλυσης, στόχευσης και επιτήρησης, το πλαίσιο γύρω από το απόρρητο και την επιτήρηση γενετικών δεδομένων θα αλλάξει σε μεγάλο βαθμό με τρόπους που πολλοί άνθρωποι τώρα δεν μπορούν να προβλέψουν», δήλωσε ο Justin Sherman, Senior Fellow στο Duke’s Sanford School of Public Policy, και ιδρυτής του

Global

Cyber ​​Strategies.

Το 23andMe σταμάτησε να παραιτηθεί εντελώς από την ευθύνη του, αλλά οι δημόσιες δηλώσεις του σχετικά με το χακάρισμα έχουν έναν αέρα κατηγοριών για τα θύματα. Ένας εκπρόσωπος είπε ότι η παραβίαση δεδομένων προήλθε από άτομα που ανακύκλωσαν κωδικούς πρόσβασης που είχαν χρησιμοποιήσει σε άλλους λογαριασμούς. Προφανώς, οι χάκερ χρησιμοποίησαν κωδικούς πρόσβασης που διέρρευσαν αλλού για να εισβάλουν σε λογαριασμούς 14.000 ατόμων, μια νεκρή απλή παραβίαση ασφαλείας γνωστή ως γέμιση διαπιστευτηρίων.

Επειδή το 23andMe έχει σχεδιαστεί ως ένα πανοπτικό συλλογής δεδομένων που πιέζει τους πελάτες να μοιράζονται τα δεδομένα τους με όλους, από άλλους χρήστες έως συνεργάτες της εταιρείας στη φαρμακευτική βιομηχανία, οι χάκερ μπόρεσαν να χρησιμοποιήσουν αυτούς τους 14.000 παραβιασμένους λογαριασμούς για να κλέψουν πληροφορίες για εκατομμύρια άλλους ανθρώπους στο πλατφόρμα.

Η επαναχρησιμοποίηση κωδικών πρόσβασης προκαλεί προβλήματα, αλλά οι επαγγελματίες ασφάλειας κατανοούν ότι οι κακές πρακτικές κωδικών πρόσβασης αποτελούν εγγύηση. Σύμφωνα με τους ειδικούς, το hack του 23andMe ήταν εύκολα αποτρέψιμο.

Αν μη τι άλλο, «Είναι απαράδεκτο το γεγονός ότι η 23andMe παραμέλησε να απαιτήσει έλεγχο ταυτότητας δύο παραγόντων (2FA) για πρόσβαση στον λογαριασμό», δήλωσε ο Patrick Jackson, Chief Technology Officer στην Disconnect, μια εταιρεία ψηφιακής ασφάλειας. «Οι εισβολείς συχνά στοχεύουν ιστοτόπους με ευαίσθητα δεδομένα, όπως το 23andMe, ειδικά εκείνους που δεν απαιτούν 2FA, καθιστώντας τους ευάλωτους σε επιθέσεις γεμίσματος διαπιστευτηρίων».