ZDA: Kraja genetskih podatkov krivda uporabnikov

ZDA: Kraja genetskih podatkov krivda uporabnikov
06. 02. 2024 objavil/a Info Hiša
genetski podatki
hekerski napad
kraja podatkov

Podjetje 23andMe, kateremu so napadalci ukradli genetske podatke več kot 6 milijonov uporabnikov, odgovornost za krajo podatkov preusmerja na posameznike.

Novica je bila objavljena 3.1.2024

Decembra 2023 je podjetje 23andMe priznalo, da so hekerji ukradli genetske podatke 6,9 milijona njihovih uporabnikov, kar predstavlja skoraj polovico vseh uporabnikov. Podjetje strankam ponuja analizo DNA in informacije o posameznikih, ki si delijo sorodne genetske lastnosti.

Izvorno so hekerji pridobili dostop do približno 14.000 uporabniških računov z uporabo tehnike »credential stuffing«, ki izkorišča stara gesla uporabnikov. Iz teh prvih 14.000 računov pa so hekerji nato lahko dostopali do osebnih podatkov drugih 6,9 milijona uporabnikov, ki so se odločili za uporabo funkcije DNA sorodniki. Ta neobvezna funkcija omogoča uporabnikom, da samodejno delijo nekatere svoje podatke z uporabniki, ki jih platforma identificira kot njihove sorodnike.

Skupina uporabnikov, ki zdaj tožijo podjetje, pa je od 23andMe prejela pojasnilo, da so "uporabniki malomarno ponovno uporabljali stara gesla in jih niso posodobili po preteklih varnostnih incidentih, ki niso povezani z 23andMe." "Zato incident ni bil posledica domnevnega nezadostnega nivoja varnostnih ukrepov s strani 23andMe," še piše v izjavi.

Odvetnik, ki v tožbi zastopa uporabnike, je dejal: "Kršitev je prizadela milijone potrošnikov, katerih podatki so bili izpostavljeni prek funkcije DNA sorodniki na platformi 23andMe, za kar ni vzrok uporaba starih gesel. Od teh milijonov je bilo zares ranljivih le nekaj tisoč računov. Poskus 23andMe, da se izogne odgovornosti tako, da krivi svoje stranke, tem milijonom potrošnikov ne pomeni nič, saj so bili podatki ukradeni brez njihove krivde.«

Odvetniki 23andMe so zatrdili, da ukradeni podatki ne morejo povzročiti finančne škode žrtvam.

V poskusu, da bi preprečilo neizogibne skupne tožbe in množične arbitražne zahtevke, je podjetje 23andMe spremenilo splošne pogoje storitve, da bi s tem prizadetim posameznikom otežili skupne sodne zahtevke proti podjetju. Odvetniki, ki imajo izkušnje z zastopanjem žrtev kršitev varstva podatkov, so potezo pospremili s komentarjem, da so spremembe "cinične", "sebične" in "obupen poskus", da bi se podjetje zaščitilo in odvrnilo stranke od ukrepanja.

Vir: TechCrunch