맹렬한 소송에 맞서 23andMe는 지난 가을 유출된 수백만 사용자의 유전자 기록에 대한 책임을 부인하고 있습니다.
In 사용자 그룹에게 보낸 편지 생명공학 회사를 대표하는 변호사들은 TechCrunch가 인수한 회사를 고소하면서 노출된 데이터에 대해 사용자가 책임을 져야 한다고 주장했습니다.
그대로 지난달 공개, 해커가 회사 내부 시스템을 침해한 것은 아닙니다. 대신 그들은 크리덴셜 스터핑을 사용하여 약 14,000개의 계정에 대한 액세스 권한을 얻은 다음 사이트의 선택적 DNA 친척 공유 기능을 통해 거의 XNUMX만 개 이상의 계정에 액세스했습니다.
이 주장은 법원은 물론 더 넓은 사이버 보안 업계에 중요한 질문을 제기합니다. 자격 증명이 유출될 때 서비스 제공업체와 비교하여 사용자의 책임은 어느 쪽입니까?
Exabeam의 부사장이자 최고 보안 전략가인 Steve Moore는 “비위생적인 자격 증명을 사용하는 것보다 모든 사람이 더 잘 알아야 합니다.”라고 말합니다. "그러나 동시에 서비스를 제공하는 조직은 그 위험을 제한할 수 있는 능력을 갖추어야 합니다."
23andMe의 이론적 근거
23andMe를 고소한 사용자 그룹은 회사가 캘리포니아 개인 정보 보호법(CPRA), 캘리포니아 의료 정보 기밀 유지법(CMIA) 및 일리노이주 유전 정보 개인 정보 보호법(GIPA)을 위반했으며 기타 여러 관습법 위반을 저질렀다고 주장합니다. .
첫 번째로, 회사의 변호사들은 “23andMe와 관련이 없는 로그인에 영향을 미치는 이전 사건 이후 “사용자들이 부주의하게 비밀번호를 재활용하고 업데이트하지 않았다”고 설명했습니다. 따라서 이번 사건은 23andMe가 CPRA에 따른 합리적인 보안 조치를 유지하지 못했다고 주장한 결과가 아닙니다.” GIPA에도 비슷한 논리가 적용되지만 "23andMe는 일리노이주 법이 여기에 적용된다고 믿지 않는다"고 덧붙였습니다.
23andMe가 반드시 그런 목표를 달성한 것은 아닙니다. 모든 높은 보안 약속. 즉, 인증 앱을 통한 2단계 인증을 포함하여 크리덴셜 스터핑을 방지할 수 있는 계정 보안 기능을 고객이 사용할 수 있었습니다. 그리고 회사의 지시에 따라 최초 발견 및 공고, 법 집행 기관에 알리고, 모든 활성 사용자 세션을 종료하고, 모든 사용자에게 비밀번호를 재설정하도록 요구하는 등 일련의 표준 보안 수정 조치를 구현했습니다.
변호사들은 “마찬가지로 중요한 점은 잠재적으로 접근된 정보가 어떤 해를 끼치는 데 사용될 수 없다는 것입니다.”라고 썼습니다. “23andMe의 플랫폼에서 고객이 생성하고 다른 사용자와 공유하기로 선택한 DNA 친척 기능과 관련하여 접근했을 수 있는 프로필 정보”와 “무단 행위자가 원고에 대해 잠재적으로 획득한 정보는 다음 용도로 사용될 수 없었습니다. 금전적 피해를 입힌 경우(사회보장번호, 운전면허번호, 결제 또는 금융 정보는 포함되지 않았습니다).”
XNUMXD덴탈의 도난당한 데이터의 성격 또한 CMIA는 "개인 식별이 가능하더라도 '의료 정보'를 구성하지 않기 때문에" CMIA를 할인한다고 설명합니다.
자격 증명이 유출되면 책임은 누구에게 있습니까?
23andMe 계정은 독특하게 안전하지 않습니다. Moore는 “인정을 원하든 원하지 않든 고객 포털이 있는 모든 조직에는 이러한 문제가 있지만 항상 이 정도 규모는 아닙니다.”라고 말합니다.
따라서 더 광범위하고 더 깊은 문제가 발생합니다. 재사용된 비밀번호는 모두 해당 사용자에게 책임이 있을 수 있지만, 이러한 관행이 웹 전반에 걸쳐 만연한, 계정 보호에 대한 일부 책임은 서비스 제공업체에 있습니까?
“내 생각에는 책임은 공유되는 것 같아요. 그리고 그것은 재미있는 대답이 아닙니다.”라고 Moore는 인정합니다.
한편으로는 사용자는 세탁 모범 사례 목록 그들은 계정 탈취를 불가능하지는 않지만 적어도 매우 어렵게 만드는 데 의존할 수 있습니다.
동시에 기업은 보유하고 있는 다양한 도구를 사용하여 고객을 보호하기 위해 스스로의 힘을 발휘해야 한다고 Moore는 지적합니다. 다단계 인증을 제공(또는 요구)하는 것 외에도 사이트에서는 강력한 비밀번호 임계값을 적용하고 로그인이 비정상적인 장소에서 또는 비정상적인 빈도로 발생할 때 사용자에게 알림을 제공할 수 있습니다. “그렇다면 법적인 관점에서 볼 때 귀하의 서비스 약관과 허용 가능한 사용 정책은 무엇을 말합니까? 사용자가 계약을 수락하면 위생이 어떻게 될 것이라는 데 동의합니까?” 그는 묻습니다.
“민감한 개인 정보를 관리하는 경우 고객 포털은 강력한 자격 증명을 확인하는 방법, 알려진 위반 사항을 확인하는 방법, 확인 방법을 제공해야 한다고 명시하는 고객의 권리 장전이 있어야 한다고 생각합니다. SMS와 같은 오류가 있는 수단을 사용하지 않는 적응형 인증 또는 다중 요소가 있습니다. 그러면 이것이 최소 요구 사항이라고 말할 수 있습니다.”라고 그는 말합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
