23andMe казва на жертвите, че те са виновни, че техните данни са били нарушени

Изправен пред повече от 30 правосъдни каузи от жертви на солидното си нарушаване на данните, 23andMe в този момент отклонява виновността към самите жертви в опит да се освободи от всевъзможни отговорност, съгласно писмо, изпратено до група жертви, забелязано от TechCrunch.

„ Вместо да признае ролята си в тази злополука на сигурността на данните, 23andMe явно е решил да остави своите клиенти настрани, като в същото време омаловажава сериозността от тези събития “, сподели Хасан Заварей, един от юристите, представляващи жертвите, които са получили писмото от 23andMe, пред TechCrunch в имейл.

През декември 23andMe призна, че хакери са откраднали генетичните данни и данните за произхода на 6,9 милиона консуматори, съвсем половината от всичките му клиенти.

Пробивът на данни стартира с достъп на хакери единствено до към 14 000 потребителски акаунта. Хакерите проникнаха в този първи набор от жертви посредством жестоко налагане на сметки с пароли, за които се знае, че са свързани с целевите клиенти, техника, известна като пълнене на идентификационни данни.

От тези 14 000 първични жертви обаче по-късно хакерите съумяха да получат достъп до персоналните данни на останалите 6,9 милиона милиона жертви, тъй като бяха избрали функционалността за ДНК родственици на 23andMe. Тази опционална функционалност разрешава на клиентите автоматизирано да споделят част от своите данни с хора, които се смятат за техни родственици в платформата.

С други думи, като хакнаха единствено 14 000 акаунта на клиенти, хакерите след това изтриха персоналните данни на други 6,9 милиона клиенти, чиито сметки не са били непосредствено хакнати.

Но в писмо, изпратено до група от стотици консуматори на 23andMe, които в този момент съдят компанията, 23andMe сподели, че „ потребителите повърхностно са рециклирали и не са актуализирали своите пароли след тези минали произшествия със сигурността, които не са свързани с 23andMe. “

„ Следователно случаят не е резултат от хипотетичен крах на 23andMe да поддържа рационални ограничения за сигурност “, се споделя в писмото.

Zavareei сподели, че 23andMe „ нахално “ упреква жертвите на нарушаването на данните.

„ Това сочене с пръст е безсмислено. 23andMe е знаел или е трябвало да знае, че доста консуматори употребяват рециклирани пароли и по този метод 23andMe е трябвало да приложи някои от многото налични защитни ограничения за отбрана против препълване на идентификационни данни - изключително като се има поради, че 23andMe съхранява персонална идентифицираща информация, здравна информация и генетична информация на своята платформа, ” Zavareei сподели в имейл.

„ Пробивът засегна милиони консуматори, чиито данни бяха изложени посредством функционалността DNA Relatives на платформата на 23andMe, не тъй като използваха рециклирани пароли. От тези милиони единствено няколко хиляди акаунта бяха компрометирани заради пълнене на идентификационни данни. Опитът на 23andMe да избегне отговорността, като упреква клиентите си, не прави нищо за тези милиони консуматори, чиито данни са били компрометирани без никаква виновност “, сподели Zavareei.

Свържете се с нас

Имате ли имате повече информация за случая 23andMe? Ще се радваме да чуем от вас. Можете да се свържете несъмнено с Lorenzo Franceschi-Bicchierai на Signal на +1 917 257 1382 или посредством Telegram, Keybase и Wire @lorenzofb, или имейл на [email protected]. Можете също по този начин да се свържете с TechCrunch посредством SecureDrop.

В отговор на писмото на 23andMe, Данте Термохс, клиент на 23andMe, който е бил обиден от пробива на данни, сподели на TechCrunch, че намира за „ ужасяващо, че 23andMe се пробва да се скрие от последици, вместо да помогне на своите клиенти. “

Адвокатите на 23andMe настояват, че откраднатите данни не могат да бъдат употребявани за нанасяне на парични вреди на жертвите.

„ Информацията, до която е бил евентуално наличен, не може да бъде употребена за всякаква щета. Както е обяснено в обявата в блога от 6 октомври 2023 година, информацията в профила, до която може да е бил наличен, е обвързвана с функционалността за ДНК родственици, която клиентът основава и избира да показа с други консуматори в платформата на 23andMe. Такава информация ще бъде налична единствено в случай че ищците изрично изберат да споделят тази информация с други консуматори посредством функционалността за ДНК родственици. Освен това информацията, която неоторизираният участник евентуално е получил за ищците, не може да бъде употребена за причиняване на имуществени вреди (не включва техния номер на обществена осигуровка, номер на шофьорска брошура или каквато и да е информация за заплащане или финансова информация) “, се споделя в писмото.

23andMe и един от неговите юристи не дадоха отговор на настояването на TechCrunch за коментар.

След разкриването на пробива, 23andMe нулира паролите на всички клиенти и по-късно изисква от всички клиенти да употребяват многофакторно засвидетелствуване, което беше единствено по желание преди нарушаването.

В опит да предотврати неизбежните групови правосъдни искове и всеобщи арбитражни искове, 23andMe промени изискванията си за обслужване, с цел да направи по-трудно за жертвите да се обединят при подаването правосъден иск против компанията. Адвокати с опит в представляването на жертви на нарушение на данните споделиха пред TechCrunch, че измененията са „ цинични “, „ самоцелни “ и „ обезверен опит “ да се отбрани и да възпира клиентите да преследват компанията.

Ясно е, измененията не стопираха това, което в този момент е вълна от групови каузи.