Το 23andMe λέει στα θύματα ότι είναι δικό τους λάθος που παραβιάστηκαν τα δεδομένα τους

By

Marizas Dimitris

On

Ιαν 3, 2024

Αντιμέτωπος

περισσότερες από 30 αγωγές

από τα θύματα της μαζικής παραβίασης δεδομένων, η

23andMe

εκτρέπει τώρα την ευθύνη στα ίδια τα θύματα σε μια προσπάθεια να απαλλάξει τον εαυτό της από κάθε ευθύνη,

σύμφωνα με μια επιστολή που εστάλη σε μια ομάδα θυμάτων που είδε το TechCrunch

.

«Αντί να αναγνωρίσει τον ρόλο της σε αυτήν την καταστροφή ασφάλειας δεδομένων, η 23andMe προφανώς αποφάσισε να αφήσει τους πελάτες της να στεγνώσουν υποβαθμίζοντας τη σοβαρότητα αυτών των γεγονότων», είπε ο Hassan Zavareei, ένας από τους δικηγόρους που εκπροσωπούν τα θύματα που έλαβαν την επιστολή από την 23andMe. TechCrunch σε ένα email.

Τον Δεκέμβριο, η 23andMe παραδέχτηκε ότι χάκερ είχαν κλέψει τα γενετικά δεδομένα και τα δεδομένα της καταγωγής 6,9 εκατομμυρίων χρηστών, σχεδόν τους μισούς πελάτες της.

Η παραβίαση δεδομένων ξεκίνησε με τους χάκερ να έχουν πρόσβαση μόνο σε περίπου 14.000 λογαριασμούς χρηστών. Οι χάκερ εισέβαλαν σε αυτό το πρώτο σύνολο θυμάτων επιβάλλοντας ωμούς λογαριασμούς με κωδικούς πρόσβασης που ήταν γνωστό ότι συνδέονταν με τους στοχευμένους πελάτες, μια

τεχν

ική γνωστή ως γέμιση διαπιστευτηρίων.

Από αυτά τα 14.000 αρχικά θύματα, ωστόσο, οι χάκερ μπόρεσαν στη συνέχεια να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα των άλλων 6,9 εκατομμυρίων θυμάτων επειδή είχαν επιλέξει να συμμετέχουν στο 23andMe’s

Συγγενείς DNA

χαρακτηριστικό

. Αυτή η προαιρετική δυνατότητα επιτρέπει στους πελάτες να μοιράζονται αυτόματα ορισμένα από τα δεδομένα τους με άτομα που θεωρούνται συγγενείς τους στην πλατφόρμα.

Με άλλα λόγια, εισβάλλοντας μόνο σε λογαριασμούς 14.000 πελατών, οι χάκερ στη συνέχεια ξέσπασαν προσωπικά δεδομένα άλλων 6,9 εκατομμυρίων πελατών των οποίων οι λογαριασμοί δεν παραβιάστηκαν άμεσα.

Αλλά σε μια επιστολή που εστάλη σε μια ομάδα εκατοντάδων χρηστών του 23andMe που τώρα μηνύουν την εταιρεία, η 23andMe είπε ότι «οι χρήστες ανακύκλωσαν εξ αμελείας τους και απέτυχαν να ενημερώσουν τους κωδικούς πρόσβασής τους μετά από αυτά τα προηγούμενα περιστατικά ασφαλείας, τα οποία δεν σχετίζονται με το 23andMe».

«Ως εκ τούτου, το περιστατικό δεν ήταν αποτέλεσμα της υποτιθέμενης αποτυχίας της 23andMe να διατηρήσει εύλογα μέτρα ασφαλείας», αναφέρεται στην επιστολή.

Ο Zavareei είπε ότι η 23andMe κατηγορεί «αδιάντροπα» τα θύματα της παραβίασης δεδομένων.

«Αυτό το δάχτυλο είναι ανόητο. Η 23andMe γνώριζε ή όφειλε να γνωρίζει ότι πολλοί καταναλωτές χρησιμοποιούν ανακυκλωμένους κωδικούς πρόσβασης και επομένως ότι η 23andMe θα έπρεπε να έχει εφαρμόσει ορισμένες από τις πολλές διασφαλίσεις που είναι διαθέσιμες για την προστασία από το γέμισμα διαπιστευτηρίων — ειδικά αν σκεφτεί κανείς ότι η 23andMe αποθηκεύει προσωπικές πληροφορίες ταυτοποίησης, πληροφορίες υγείας και γενετικές πληροφορίες στην πλατφόρμα της. », είπε ο Zavarei σε ένα email.

«Η παραβίαση επηρέασε εκατομμύρια καταναλωτές των οποίων τα δεδομένα εκτέθηκαν μέσω της λειτουργίας DNA Συγγενείς στην πλατφόρμα της 23andMe, όχι επειδή χρησιμοποιούσαν ανακυκλωμένους κωδικούς πρόσβασης. Από αυτά τα εκατομμύρια, μόνο μερικές χιλιάδες λογαριασμοί παραβιάστηκαν λόγω γεμίσματος διαπιστευτηρίων. Η προσπάθεια της 23andMe να αποφύγει την ευθύνη κατηγορώντας τους πελάτες της δεν κάνει τίποτα για αυτά τα εκατομμύρια των καταναλωτών των οποίων τα δεδομένα παραβιάστηκαν χωρίς κανένα δικό τους λάθος», είπε ο Zavareei.

Επικοινωνήστε μαζί μας

Έχετε περισσότερες πληροφορίες για το περιστατικό 23andMe; Θα θέλαμε να ακούσουμε νέα σας. Μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο

Signal

στο +1 917 257 1382 ή μέσω Telegram, Keybase and Wire @lorenzofb ή email στο
. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.

Σε απάντηση στην επιστολή του 23andMe, ο Dante Termohs, ένας πελάτης του 23andMe, είπε στο TechCrunch ότι βρήκε «τρομερό το γεγονός ότι η 23andMe προσπαθεί να κρυφτεί από τις συνέπειες αντί να βοηθά τους πελάτες της».

Οι δικηγόροι του 23andMe υποστήριξαν ότι τα κλεμμένα δεδομένα δεν μπορούν να χρησιμοποιηθούν για να προκληθεί χρηματική ζημία στα θύματα.

«Οι πληροφορίες στις οποίες έγινε πιθανή πρόσβαση δεν μπορούν να χρησιμοποιηθούν για κανένα κακό. Όπως εξηγείται στην ανάρτηση ιστολογίου της 6ης Οκτωβρίου 2023, οι πληροφορίες προφίλ στις οποίες μπορεί να έχει γίνει πρόσβαση σχετίζονται με τη λειτουργία DNA Συγγενείς, την οποία δημιουργεί ένας πελάτης και επιλέγει να μοιραστεί με άλλους χρήστες στην πλατφόρμα του 23andMe. Τέτοιες πληροφορίες θα ήταν διαθέσιμες μόνο εάν οι ενάγοντες επιλέξουν θετικά να μοιραστούν αυτές τις πληροφορίες με άλλους χρήστες μέσω της λειτουργίας DNA Συγγενείς.

Επιπλέον

, οι πληροφορίες που έλαβε δυνητικά ο μη εξουσιοδοτημένος ηθοποιός σχετικά με τους ενάγοντες δεν θα μπορούσαν να είχαν χρησιμοποιηθεί για να προκαλέσει περιουσιακή βλάβη (δεν περιελάμβανε τον αριθμό κοινωνικής ασφάλισης, τον αριθμό άδειας οδήγησης ή οποιαδήποτε πληροφορία πληρωμής ή χρηματοδότησης)», ανέφερε η επιστολή.

Η 23andMe και ένας από τους δικηγόρους της δεν απάντησαν στο αίτημα της TechCrunch για σχολιασμό.

Μετά την αποκάλυψη της παραβίασης, η 23andMe επανέφερε όλους τους κωδικούς πρόσβασης πελατών και, στη συνέχεια, απαιτούσε από όλους τους πελάτες να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων, ο οποίος ήταν μόνο προαιρετικός πριν από την παραβίαση.

Σε μια προσπάθεια να προλάβει τις αναπόφευκτες ομαδικές αγωγές και τις μαζικές αξιώσεις διαιτησίας, η 23andMe άλλαξε τους όρους παροχής υπηρεσιών της για να καταστήσει πιο δύσκολη τη συνένωση των θυμάτων κατά την υποβολή νομικής αξίωσης κατά της εταιρείας. Δικηγόροι με εμπειρία στην εκπροσώπηση θυμάτων παραβίασης δεδομένων είπαν στο TechCrunch ότι οι αλλαγές ήταν «κυνικές», «αυτοεξυπηρετούμενες» και «μια απέλπιδα προσπάθεια» να προστατευθεί και να αποτρέψει τους πελάτες από το να κυνηγήσουν την εταιρεία.

Σαφώς, οι αλλαγές δεν σταμάτησαν αυτό που είναι τώρα μια αναταραχή

ομαδικές αγωγές

.

VIA:

techcrunch.com