نقض ۲۳andMe که در ماه اکتبر رخ داد، بسیار بدتر از آنچه در ابتدا گزارش شده بود، تایید شده است و ۶٫۹ میلیون نفر را تحت تاثیر قرار داده است، برخلاف تصور ۱۴۰۰۰ کاربر.
اطلاعات به سرقت رفته در این نقض شامل نام کامل کاربران، سال تولد، برچسبهای رابطه و مکان میشد. تقریباً ۱٫۴ میلیون کاربر نیز اطلاعات نمایه درخت خانواده در این سرویس را در معرض خطر قرار دادند. به گفته یکی از سخنگویان، هکرها همچنین میتوانند به اطلاعات ژنتیکی در نقض دسترسی داشته باشند، از جمله جزئیات مربوط به درصدهای مشترک DNA مشترک با بستگان، و ویژگیهایی مانند تطابق کروموزومها.
گزارشها نشان میدهند که این دادهها قبلاً برای فروش در بازار سیاه قرار گرفتهاند، با چندین گروه قومی در حال حاضر هدف قرار گرفتهاند و بازیگران بدی که اطلاعات یک فرد را به قیمت ۱ تا ۱۰ دلار در یک مجموعه داده میفروشند. در همین حال، به نظر میرسد که وبسایت ردیابی اجداد، مسیرهای خود را پوشش میدهد و بهروزرسانیهای شرایط خدمات را به سرعت برای کاربران ارسال کرده است، که در آن توضیح داده شده است که هرگونه شکایت حقوقی در مورد این موضوع باید خارج از دادگاه حل شود. این امر کاربران را از تلاش برای دعوای حقوقی دسته جمعی به عنوان یک اقدام اولیه منع می کند، مگر اینکه از یک تصمیم خصوصی انصراف دهند.
اگر کاربران بخواهند شکایت دسته جمعی را مطرح کنند، باید به طور جمعی از یک اختلاف خصوصی انصراف دهند و می توانند این کار را با ایمیل arbitrationoptout@23andme.com ظرف ۳۰ روز پس از به روز رسانی، یعنی ۳۰ دسامبر انجام دهند. این اطلاعات در پایان به تفصیل آمده است. بخش پنجم بهروزرسانی شرایط خدمات ۲۳andMe، Gizmodo اشاره شد.
در بیانیهای درباره این موضوع، ۲۳andMe تلاش کرد مسئولیت را حتی بیشتر منتقل کند، و در بیانیهای توضیح داد که نقض به دلیل استفاده مجدد اعضا از رمزهای عبور از حسابهای دیگر رخ داده است. این حمله سایبری متداول، که به عنوان پر کردن اعتبار شناخته میشود، به هکرها اجازه میدهد تا رمزهای عبور فاش شده را برای دسترسی به ۱۴۰۰۰ حساب اولیه جمعآوری کنند. به گفته یکی از سخنگویان، از آنجا، آنها توانستند از طریق پایگاه داده های بیشتری از شرکت برای سرقت اطلاعات استفاده کنند.
در حال حاضر، پیامدهای اولیه نقض شناخته نشده است، اما مطمئناً در طول زمان آشکار می شود. کارشناسان توضیح دادهاند که حتی زمانی که جمعآوری دادههای مصرفکننده آنلاین قانونی باشد، احتمال سوگیری ضمنی وجود دارد که میتواند بر تصمیمات استخدام، انتخاب آپارتمان، درخواستهای اعتباری و حق بیمه تأثیر بگذارد. در موارد غیرقانونی، سرقت هویت ممکن است رخ دهد.
قابل ذکر است، متا (فیسبوک سابق) حل و فصل یک ۷۲۵ میلیون دلار شکایت دسته جمعی در ماه آوریل، که به تفصیل توضیح داد که پلت فرم رسانه های اجتماعی داده های کاربران و دوستانشان را برای کسب سود در معرض اشخاص ثالث قرار داده است. این شکایت اضافه کرد که فیس بوک هیچ قانون یا حفاظت از حریم خصوصی برای نحوه تعامل اشخاص ثالث با داده های کاربرانش وجود ندارد.
سوزان برنشتاین، عضو قانون مرکز اطلاعات حریم خصوصی الکترونیکی، به این نشریه گفت: نقض ۲۳andMe به طور مشابه این پتانسیل را دارد که دادههای ژنتیکی در دستان اشتباه قرار گیرد تا از آنها بر اساس اطلاعات سلامتی، مانند تشخیص یا سابقه خانوادگی پزشکی، استفاده شود.
در حالی که کاربران این شرکت نداشتند بهداشت رمز عبور قویکارشناسان دیگر خاطرنشان می کنند که چنین سازمانی مانند ۲۳andMe باید جایگاه خود را از نقطه نظر امنیت سایبری درک کند. میزبانی چنین داده های حساسی، شرکت را به یک هدف اصلی برای حملات سایبری و نیاز به الزامات ورود به سیستم پشتیبان، مانند احراز هویت دو مرحله ای (۲FA).
گزارشها نشان میدهند که این دادهها قبلاً برای فروش در بازار سیاه رفتهاند، با چندین گروه قومی در حال حاضر هدف قرار گرفتهاند و بازیگران بدی که اطلاعات یک فرد را به قیمت ۱ تا ۱۰ دلار در یک مجموعه داده میفروشند. در همین حال، به نظر میرسد که وبسایت ردیابی اجداد، مسیرهای خود را پوشش میدهد، و بهسرعت بهروزرسانیهای شرایط خدمات را برای کاربران ارسال کرده است، که توضیح میدهد هرگونه شکایت حقوقی در مورد این موضوع باید خارج از دادگاه حل شود. این امر کاربران را از تلاش برای دعوای حقوقی دسته جمعی به عنوان یک اقدام اولیه منع می کند، مگر اینکه از یک تصمیم خصوصی انصراف دهند.
منبع: https://www.digitaltrends.com/computing/why-the-23andme-data-breach-is-so-scary/