Çok sayıda dava karşısında 23andMe, milyonlarca kullanıcının geçen sonbaharda sızdırılan genetik kayıtlarının sorumluluğunu reddediyor.
In bir grup kullanıcıya gönderilen mektup TechCrunch tarafından ele geçirilen şirkete dava açan biyoteknoloji şirketini temsil eden avukatlar, ifşa edilmiş olabilecek verilerden kullanıcıların sorumlu olduğunu öne sürdü.
Olduğu gibi geçen ay açıklandı, bilgisayar korsanları şirketin iç sistemlerini ihlal etmedi. Bunun yerine, kimlik bilgileri doldurmayı kullanarak yaklaşık 14,000 hesaba erişim elde ettiler, ardından sitenin isteğe bağlı DNA Akrabaları paylaşım özelliği aracılığıyla yaklaşık yedi milyondan fazla hesaba erişim sağladılar.
Bu iddia, hem mahkemeler hem de daha geniş siber güvenlik sektörü için önemli bir soruyu gündeme getiriyor: Kimlik bilgileri doldurulduğunda, hizmet sağlayıcıya karşı kullanıcıya ne kadar sorumluluk düşüyor?
Exabeam başkan yardımcısı ve baş güvenlik stratejisti Steve Moore, "Herkes hijyenik olmayan bir kimlik bilgisi kullanmamanın daha iyi olduğunu bilmeli" diyor. "Ancak aynı zamanda hizmeti sağlayan kuruluşun bu riski sınırlandıracak yeteneklere sahip olması gerekir."
23andMe'nin Mantığı
23andMe'ye dava açan kullanıcı grubu, şirketin Kaliforniya Gizlilik Hakları Yasası'nı (CPRA), Kaliforniya Tıbbi Bilgilerin Gizliliği Yasası'nı (CMIA) ve Illinois Genetik Bilgi Gizliliği Yasası'nı (GIPA) ihlal ettiğini ve bir dizi başka genel hukuk ihlali yaptığını iddia ediyor .
Şirketin avukatları, ilk aşamada, "23andMe ile ilgisi olmayan, oturum açma bilgilerini etkileyen daha önceki olayların ardından" kullanıcıların ihmalkar bir şekilde şifrelerini geri dönüştürdüğünü ve güncellemediğini belirtti. Dolayısıyla olay, 23andMe'nin CPRA kapsamında makul güvenlik önlemlerini almadığı iddiasının bir sonucu değildi." Benzer mantık GIPA için de geçerli ancak "23andMe, Illinois yasalarının burada geçerli olduğuna inanmıyor" diye eklediler.
23andMe'nin tam olarak buna uygun olduğu söylenemez tüm yüce güvenlik vaatleri. Bununla birlikte, kimlik doğrulama uygulamasıyla iki adımlı doğrulama da dahil olmak üzere, kimlik bilgilerinin doldurulmasını önleyebilecek, müşterilerin kullanımına sunulan hesap güvenliği özellikleri mevcuttu. Ve şirketin talimatlarını takip ederek ilk keşif ve kamuya duyuru, kolluk kuvvetlerine bildirimde bulunmak, tüm aktif kullanıcı oturumlarını sonlandırmak ve tüm kullanıcıların şifrelerini sıfırlamasını zorunlu kılmak da dahil olmak üzere bir dizi standart güvenlik iyileştirmesi uyguladı.
Avukatlar, "Aynı derecede önemli olan, potansiyel olarak erişilen bilgilerin herhangi bir zarar vermek amacıyla kullanılamaz" diye yazdı. "Bir müşterinin 23andMe platformunda oluşturduğu ve diğer kullanıcılarla paylaşmayı seçtiği DNA Akrabaları özelliği ile ilgili olarak erişilmiş olabilecek profil bilgileri" ve "yetkisiz aktörün davacılar hakkında potansiyel olarak elde ettiği bilgiler bu amaçla kullanılamaz." maddi zarara neden olmak (sosyal güvenlik numarası, ehliyet numarası veya herhangi bir ödeme veya mali bilgi içermiyordu).
The çalınan verilerin niteliği Mektupta ayrıca CMIA'nın "bireysel olarak tanımlanabilir olmasına rağmen 'tıbbi bilgi' teşkil etmediği" gerekçesiyle dikkate alınmadığı belirtiliyor.
Kimlik Bilgileri Sızıntısında Kim Sorumlu?
23andMe hesapları benzersiz bir şekilde güvensiz değildir. Moore, "Kabul etmek isteseler de istemeseler de, bir müşteri portalına sahip olduğunu düşünebileceğiniz her kuruluşta bu sorun vardır, ancak her zaman bu ölçekte değildir" diyor.
Böylece daha geniş ve daha derin bir sorun ortaya çıkıyor. Yeniden kullanılan herhangi bir parolanın sorumlusu kullanıcı olabilir, ancak bu uygulamanın yanlış olduğunu bilerek Web genelinde endemik, hesapları koruma sorumluluğunun bir kısmı servis sağlayıcıya mı düşüyor?
“Sorumluluğun paylaşıldığını düşünüyorum. Ve bu eğlenceli bir cevap değil” diye itiraf ediyor Moore.
Bir yandan, kullanıcılar bir en iyi uygulamaların çamaşırhane listesi Hesabın ele geçirilmesinin imkansız değil ama en azından çok zor olacağından emin olabilirler.
Moore aynı zamanda şirketlerin, ellerindeki birçok araçla müşterilerini korumak için kendi güçlerini kullanmaları gerektiğine dikkat çekiyor. Siteler, çok faktörlü kimlik doğrulama sunmanın (veya gerektirmenin) ötesinde, güçlü şifre eşikleri uygulayabilir ve alışılmadık yerlerden veya olağandışı sıklıklardan oturum açıldığında kullanıcılara bildirimde bulunabilir. "O halde hukuki açıdan bakıldığında: Hizmet koşullarınız ve kabul edilebilir kullanım politikanız ne diyor? Bir kullanıcı bir sözleşmeyi kabul ettiğinde hijyeninin ne olacağını kabul etmiş olur?” O sorar.
"Bence bu konuda, eğer hassas kişisel bilgileri yönetiyorsanız, müşteri portallarının güçlü kimlik bilgilerini kontrol etmek için bir yol, bilinen ihlalleri kontrol etmek için bir yol sunması gerektiğini ve bunun doğru olduğundan emin olmanın bir yolunu sunması gerektiğini belirten bir müşteri hakları beyannamesi olması gerektiğini düşünüyorum. SMS gibi yanıltıcı yöntemler kullanmayan uyarlanabilir kimlik doğrulamanız veya çok faktörünüz var. O zaman şunu söyleyebiliriz: Bu asgari gerekliliktir” diyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
