23andMe обвинява потребителите за нарушаване на данните, цитирайки рециклирани пароли
Компанията за генетични тестове 23andMe е изправена пред колективен иск, след като данните на потребителите са били достъпни без разрешение – нарушение, което обвинява клиентите, които са използвали рециклирана парола като идентификационни данни за вход за техния акаунт в уебсайта на родната ДНК фирма.
23andMe написа в писмо в отговор на адвокатите, представляващи клиенти, чиито данни са били разкрити, че не е настъпило нарушение съгласно разпоредбите на Закона за правата за поверителност на Калифорния, тъй като потребителите, насочени към първоначалното нарушение, са използвали идентификационни данни за вход, които са били разкрити при нарушения, включващи други уебсайтове чрез използване на тактика, наречена „пълнеж на идентификационни данни“. Писмото беше съобщено за първи път от TechCrunch и потвърдено независимо от FOX Business.
Компанията повтори позицията, която зае, когато за първи път разкри инцидента през октомври, като написа, че „неупълномощени участници са успели да получат достъп до определени потребителски акаунти в случаите, когато потребителите са рециклирали собствените си идентификационни данни за вход – тоест потребителите са използвали едни и същи потребителски имена и пароли, използвани на 23andMe.com, както и на други уебсайтове, които са били обект на предишни пробиви в сигурността, а потребителите небрежно са рециклирали и не са актуализирали своите пароли след тези минали инциденти със сигурността, които не са свързани с 23and Me.“
Около 14 000 акаунта на потребители на 23andMe бяха атакувани при първоначалния инцидент и хакерите използваха тези акаунти за достъп до данните на 6,9 милиона потребители. От първоначалните 14 000 пробити акаунта, хакерът е получил достъп до информация от около 5,5 милиона профили на DNA Relatives и приблизително 1,4 милиона профили с функции на Family Tree, свързани с компрометираните акаунти.
Компанията каза през декември, че има 14 милиона потребителски профили по това време.
23andMe не отговори веднага на искане за коментар.
„Вместо да признае ролята си в тази катастрофа на сигурността, 23andMe очевидно е решила да остави клиентите си да изсъхнат, като същевременно омаловажава сериозността на тези събития“, каза Хасан Завареи, адвокат, представляващ жертвите, завеждащи колективен иск срещу 23andMe. в изявление, предоставено на FOX Business.
Той също така отбеляза, че „пробивът е засегнал милиони потребители, чиито данни са били разкрити чрез функцията DNA Relatives на платформата на 23andMe, не защото са използвали рециклирани пароли.“
„От тези милиони само няколко хиляди акаунта бяха компрометирани поради пълнене на идентификационни данни“, добави Заварей. „Опитът на 23andMe да избегне отговорността, като обвинява клиентите си, не прави нищо за тези милиони потребители, чиито данни са били компрометирани без вина по тяхна вина.“
Вследствие на пробива хакерите публикуваха приблизително 1 милион точки с данни, свързани с потребители с еврейско наследство от ашкенази и подобни данни, свързани с над 300 000 потребители с китайско наследство.
23andMe също предприе стъпки за промяна на протоколите за сигурност на потребителите като изисква използването на двуфакторно удостоверяване за всички нови и съществуващи потребители и също така насочва всеки клиент да нулира паролата си.
Акциите на компанията паднаха с над 8% по време на късната следобедна търговия в сряда.
