Ondanks een stortvloed aan rechtszaken ontkent 23andMe de aansprakelijkheid voor de genetische gegevens van miljoenen gebruikers die afgelopen herfst zijn gelekt.
In een brief gestuurd naar een groep gebruikers Advocaten die het biotechbedrijf vertegenwoordigen, hebben het door TechCrunch verkregen bedrijf aangeklaagd en hebben een zaak naar voren gebracht waarin gebruikers verantwoordelijk waren voor de gegevens die mogelijk openbaar waren gemaakt.
Zoals was onthulde vorige maandhebben hackers geen inbreuk gemaakt op de interne systemen van het bedrijf. In plaats daarvan kregen ze toegang tot ongeveer 14,000 accounts door gebruik te maken van credential stuffing, en kregen vervolgens toegang tot gegevens van bijna zeven miljoen anderen via de optionele functie voor het delen van DNA-familieleden.
Het argument roept een belangrijke vraag op voor rechtbanken, maar ook voor de bredere cyberbeveiligingsindustrie: welk deel van de verantwoordelijkheid ligt bij de gebruiker, versus bij de dienstverlener, als de inloggegevens vol raken?
“Iedereen zou beter moeten weten dan een onhygiënische identificatie te gebruiken”, zegt Steve Moore, vice-president en hoofdveiligheidsstrateeg bij Exabeam. “Maar tegelijkertijd moet de organisatie die de dienst levert over de mogelijkheden beschikken om het risico daarop te beperken.”
De grondgedachte van 23andMe
De gebruikersgroep die 23andMe aanklaagt, stelt dat het bedrijf de California Privacy Rights Act (CPRA), de California Confidentiality of Medical Information Act (CMIA) en de Illinois Genetic Information Privacy Act (GIPA) heeft geschonden en een aantal andere common law-schendingen heeft begaan. .
Wat het eerste punt betreft, legden de advocaten van het bedrijf uit: “gebruikers hebben nalatig hun wachtwoorden gerecycleerd en niet bijgewerkt” na eerdere incidenten die hun logins beïnvloedden, “die geen verband houden met 23andMe. Daarom was het incident niet het gevolg van het vermeende onvermogen van 23andMe om redelijke veiligheidsmaatregelen in het kader van de CPRA te handhaven.” Een soortgelijke logica is van toepassing op GIPA, hoewel ze eraan toevoegden dat “23andMe niet gelooft dat de wet van Illinois hier van toepassing is.”
23andMe heeft dit niet noodzakelijkerwijs waargemaakt al zijn verheven veiligheidsbeloften. Dat gezegd hebbende, waren er accountbeveiligingsfuncties beschikbaar voor klanten die het opvullen van inloggegevens mogelijk hadden voorkomen, waaronder tweestapsverificatie met een authenticator-app. En, in navolging van het bedrijf eerste ontdekking en publieke bekendmaking, implementeerde het een reeks standaard beveiligingsmaatregelen, waaronder het op de hoogte stellen van de wetshandhaving, het beëindigen van alle actieve gebruikerssessies en het verplichten van alle gebruikers om hun wachtwoord opnieuw in te stellen.
“Net zo belangrijk is dat de informatie waartoe mogelijk toegang is verkregen, niet kan worden gebruikt voor enige schade”, schreven de advocaten. “De profielinformatie waartoe mogelijk toegang is verkregen, had betrekking op de functie DNA Relatives, die een klant aanmaakt en deelt met andere gebruikers op het platform van 23andMe,” en “de informatie die de ongeautoriseerde actor mogelijk over eisers heeft verkregen, had niet kunnen worden gebruikt om financiële schade veroorzaken (het omvatte niet hun burgerservicenummer, rijbewijsnummer of enige betalings- of financiële informatie).”
De aard van de gestolen gegevens geeft ook korting op CMIA, legt de brief uit, omdat het “geen ‘medische informatie’ vormde, ook al was deze individueel identificeerbaar).”
Wie is verantwoordelijk als inloggegevens lekken?
23andMe-accounts zijn niet uniek onveilig. “Elke organisatie die je maar kunt bedenken en die een klantenportaal heeft, of ze het nu willen toegeven of niet, heeft dit probleem, alleen niet altijd op deze schaal”, zegt Moore.
Er ontstaat dus een breder, dieper probleem. Elk hergebruikt wachtwoord kan aan de gebruiker worden toegeschreven, maar wetende dat dit de praktijk is endemisch op internetLigt een deel van de verantwoordelijkheid voor het beschermen van accounts dan bij de dienstverlener?
“De aansprakelijkheid is, denk ik, gedeeld. En dat is geen leuk antwoord”, geeft Moore toe.
Aan de ene kant hebben gebruikers een waslijst met best practices ze kunnen erop vertrouwen dat het overnemen van accounts niet onmogelijk, maar in ieder geval erg moeilijk is.
Tegelijkertijd wijst Moore erop dat bedrijven hun eigen macht moeten aanwenden om hun klanten te beschermen, met de vele instrumenten die ze tot hun beschikking hebben. Naast het aanbieden (of vereisen) van meervoudige authenticatie, kunnen sites sterke wachtwoorddrempels afdwingen en gebruikers op de hoogte stellen wanneer logins plaatsvinden vanaf ongebruikelijke plaatsen of met ongebruikelijke frequenties. “Dan vanuit juridisch oogpunt: wat zeggen uw servicevoorwaarden en beleid voor acceptabel gebruik? Wanneer een gebruiker een overeenkomst accepteert, wat gaat hij/zij dan afspreken over de hygiëne?” hij vraagt.
“Ik denk dat er een rechtenverklaring voor de klant moet komen waarin staat dat als je gevoelige persoonlijke informatie beheert, klantportals een manier moeten bieden om te controleren op sterke inloggegevens, een manier om te controleren op bekende inbreuken en een manier om ervoor te zorgen dat je hebt adaptieve authenticatie of multi-factor die geen gebruik maakt van feilbare middelen zoals sms. Dan kunnen we zeggen: dit is de minimale eis”, zegt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
