Di fronte a un assalto di cause legali, 23andMe nega la responsabilità per i record genetici di milioni di utenti trapelati lo scorso autunno.
In una lettera inviata ad un gruppo di utenti Facendo causa alla società ottenuta da TechCrunch, gli avvocati che rappresentano la società biotecnologica hanno esposto il caso secondo cui gli utenti erano responsabili di qualunque dato potesse essere stato esposto.
Così com'era rivelato il mese scorso, gli hacker non hanno violato i sistemi interni dell’azienda. Invece, hanno ottenuto l’accesso a circa 14,000 account utilizzando il credential stuffing, quindi hanno avuto accesso ai dati di quasi altri sette milioni tramite la funzione di condivisione opzionale DNA Relatives del sito.
L’argomento solleva una questione importante per i tribunali, così come per il più ampio settore della sicurezza informatica: quale quota di responsabilità ricade sull’utente, rispetto al fornitore di servizi, quando le credenziali vengono intasate?
"Tutti dovrebbero sapere che è meglio non utilizzare credenziali poco igieniche", afferma Steve Moore, vicepresidente e capo stratega della sicurezza di Exabeam. “Ma allo stesso tempo, l’organizzazione che fornisce il servizio dovrebbe avere le capacità per limitarne il rischio”.
La logica di 23andMe
Il gruppo di utenti che ha fatto causa a 23andMe sostiene che la società ha violato il California Privacy Rights Act (CPRA), il California Confidentiality of Medical Information Act (CMIA) e l'Illinois Genetic Information Privacy Act (GIPA) e ha commesso una serie di altre violazioni del diritto comune .
Sul primo punto, hanno spiegato i legali della società, "gli utenti hanno negligentemente riciclato e non hanno aggiornato le proprie password" a seguito di precedenti incidenti che hanno interessato i loro accessi, "che non sono correlati a 23andMe. Pertanto, l’incidente non è stato il risultato della presunta incapacità di 23andMe di mantenere ragionevoli misure di sicurezza ai sensi del CPRA”. Una logica simile si applica al GIPA, anche se ha aggiunto che “23andMe non crede che qui si applichi la legge dell’Illinois”.
23andMe non è stato necessariamente all'altezza tutte le sue elevate promesse di sicurezza. Detto questo, c’erano funzionalità di sicurezza dell’account a disposizione dei clienti che avrebbero potuto impedire il credential stuffing, inclusa la verifica in due passaggi con un’app di autenticazione. E, seguendo quello dell'azienda scoperta iniziale e avviso pubblico, ha implementato una serie di misure di sicurezza standard, tra cui la notifica alle forze dell'ordine, la chiusura di tutte le sessioni utente attive e la richiesta a tutti gli utenti di reimpostare le proprie password.
"Altrettanto importante, le informazioni a cui è stato possibile accedere non possono essere utilizzate per alcun danno", hanno scritto gli avvocati. "Le informazioni del profilo a cui potrebbe essere stato effettuato l'accesso relative alla funzione DNA Relatives, che un cliente crea e sceglie di condividere con altri utenti sulla piattaforma di 23andMe" e "le informazioni che l'attore non autorizzato ha potenzialmente ottenuto sui querelanti non avrebbero potuto essere utilizzate per causare danni patrimoniali (non includeva il numero di previdenza sociale, il numero della patente di guida o qualsiasi pagamento o informazione finanziaria)."
Il natura dei dati rubati esclude anche la CMIA, spiega la lettera, in quanto "non costituiva 'informazioni mediche' anche se era identificabile individualmente)."
Chi è responsabile in caso di fuga di credenziali?
I conti 23andMe non sono unicamente insicuri. "Qualsiasi organizzazione che disponga di un portale clienti, che lo voglia ammettere o meno, ha questo problema, ma non sempre su questa scala", afferma Moore.
Si pone quindi una questione più ampia e profonda. Qualsiasi password riutilizzata può essere attribuita al suo utente, ma, sapendo che la pratica lo è endemico in tutto il Web, una parte della responsabilità della protezione degli account ricade quindi sul fornitore del servizio?
“La responsabilità, credo, è condivisa. E questa non è una risposta divertente”, ammette Moore.
Da un lato, gli utenti hanno a lunga lista di buone pratiche possono fare affidamento per rendere il furto di account non impossibile, ma almeno molto difficile.
Allo stesso tempo, sottolinea Moore, le aziende devono esercitare il proprio potere per proteggere i propri clienti, con i numerosi strumenti a loro disposizione. Oltre a offrire (o richiedere) l’autenticazione a più fattori, i siti possono imporre soglie di password complesse e avvisare gli utenti quando gli accessi avvengono da luoghi insoliti o con frequenze insolite. “Quindi da un punto di vista legale: cosa dicono i vostri termini di servizio e la politica di utilizzo accettabile? Quando un utente accetta un accordo, come concorda che sarà la sua igiene?" lui chiede.
"Penso che dovrebbe esserci una carta dei diritti del cliente a questo riguardo che dica che se si gestiscono informazioni personali sensibili, i portali clienti devono offrire un modo per verificare credenziali forti, un modo per verificare eventuali violazioni note e un modo per assicurarsi hai un'autenticazione adattiva o multifattore che non utilizza mezzi fallibili come gli SMS. Allora possiamo dire: questo è il requisito minimo”, dice.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
