Нарушение на 23andMe: „Хиляди“ се стремят да се присъединят към B.C. групов иск след 6,9 милиона хакнати
Хакерите са успели да получат достъп до личната информация на 6,9 милиона клиенти на 23andMe при нарушение на данните, потвърди компанията във вторник – което представлява почти половината от докладваната потребителска база от 14 на 23andMe милиона клиенти.
Компанията за генетични тестове, която предлага здравни прозрения и информация за произхода въз основа на подадена от клиента ДНК, събрана чрез тампони от слюнка, каза, че е научила за хакването в началото на октомври. След седмици на спекулации, истинската степен на нарушението на данните беше разкрита.
В някои случаи бяха изтекли имена на потребители, родословни дървета, доклади за родословие, местоположения, профилни снимки и години на раждане. Въпреки че откраднатите данни не включват ДНК записи, 23andMe каза пред Global News в имейл, че пробивът може да е изтекъл „конкретно къде на хромозомите (на потребителите) те и техният роднина са имали съвпадаща ДНК.“
Според предложен колективен иск срещу 23andMe, заведен в B.C. Върховния съд тази открадната информация след това беше пусната за продажба в тъмната мрежа.
Водещият ищец в делото е неназован B.C. мъж, чиято самоличност е защитена от забрана за публикуване, каза адвокатът Сейдж Нематолахи пред Global News.
Фирмата на Нематолахи KND Complex Litigation и базираната във Ванкувър адвокатска кантора YLaw Group работят заедно, за да преследват този колективен иск.
Нематолахи каза в телефонно интервю, че „хиляди“ канадци са се свързали с адвокатската му кантора след изтичането на данни, търсейки да се присъединят към груповия иск. Той каза, че обемът на запитванията е „безпрецедентен“ в кариерата му.
Искът твърди, че 23andMe е участвал в „умишлено, съзнателно или безразсъдно поведение“, като не е прилагал и поддържал подходящи практики за задържане и защита на данните.
„В резултат на това те категорично изложиха на неоторизирани страни и киберпрестъпници изключително чувствителните и изключително ценни клиентски данни под техен контрол, попечителство или притежание“, се казва в съдебния иск.
Искът иска неуточнени парични щети, включително цената, която засегнатите клиенти са платили за услугите на 23andMe, както и допълнителни щети в резултат на нарушението на данните. Предложеният колективен иск е отворен за всеки, пребиваващ в Канада, чиято лична информация е изтекла от 23andMe.
Нематолахи пише в изявление, че като голям бизнес оператор 23andMe се държи на „строги стандарти съгласно канадските закони за поверителност, които го изискват правилно и отговорно да управлява и защитава изключително чувствителната и изключително ценна лична информация на своите клиенти.“
„Надяваме се, че този колективен иск ще хвърли светлина върху фактите, ще осигури достъп за справедливост към канадските клиенти, които са били засегнати от тази ситуация, и насърчаване на промяна на поведението и отговорни практики за управление на данни в индустрията“, добави той.
Предложеният колективен иск се „преследва активно“, Нематолахи каза, а следващата съдебна дата за делото е насрочена за януари.
Как е станало изтичането?
Компанията казва, че „заплашващ актьор“ е получил достъп до малък процент на 23andMe акаунти чрез „пълнеж на идентификационни данни“.
„Тоест потребителските имена и пароли, използвани на 23andMe.com, бяха същите като тези, използвани на други уебсайтове, които преди това са били компрометирани или по друг начин достъпни“, 23andMe се казва в публикация в блог.
Хакерите успяха да получат достъп до 14 000 акаунта, по-малко от 0,1 процента от потребителската база, използвайки тези потребителски имена и пароли, които преди това бяха изтекли. От това малко семе хакерите успяха да получат достъп до информация от още милиони акаунти чрез функциите на 23andMe DNA Relatives и Family Tree, които позволяват на потребителите да споделят информация с други потребители, с които са генетично свързани.
Приблизително 5,5 милиона потребители са имали изтекли данни от техния профил на роднини по ДНК, както и допълнителни 1,4 милиона потребители чрез функцията Family Tree, „всеки от които е бил свързан с компрометираните акаунти“, казва 23andMe.
Компанията за генетични тестове казва, че изпрати имейл на всички клиенти, за да ги уведоми за нарушението на данните и сега изисква всички нови и съществуващи потребители да влизат в акаунтите си чрез потвърждаване в две стъпки.
„Защитата на поверителността и сигурността на данните на нашите клиенти остава основен приоритет за 23andMe и ние ще продължим да инвестираме в защитата на нашите системи и данни,” казаха от компанията. акаунт.
Потребителите могат също така да се откажат от функцията DNA Relatives, за да предотвратят споделянето на информацията им с други акаунти. Клиентите могат да се откажат, като изберат опцията „Управление на предпочитанията“ на тяхната страница „Настройки на акаунта“.
Потребителите, които искат да изтрият напълно своите акаунти и лична информация в 23andMe, могат да го направят в секцията „Данни на 23andMe“ на тяхната страница „Настройки на акаунта“.
„Въпреки че ще изтрием по-голямата част от вашата лична информация, от нас се изисква да запазим част от информацията, за да спазим нашите правни задължения“, пише 23andMe на уебсайта си. „Изтриването на акаунт и свързаните с него данни ще изтрие завинаги данните, свързани с всички профили в акаунта.“
