Παραβίαση δεδομένων 23andMe: 6,9 εκατομμύρια άνθρωποι επηρεάζονται
Η παραβίαση δεδομένων
23andMe
, που αποκαλύφθηκε από την εταιρεία γενετικών δοκιμών την περασμένη Παρασκευή, αφορούσε μη εξουσιοδοτημένη πρόσβαση στα προσωπικά δεδομένα του 0,1% περίπου των πελατών της, που αντιστοιχεί σε περίπου 14.000 άτομα. Σε αυτό το περιστατικό, η εταιρεία αναγνώρισε ότι οι χάκερ όχι μόνο είχαν πρόσβαση σε αυτούς τους λογαριασμούς, αλλά απέκτησαν επίσης «ένα σημαντικό αριθμό αρχείων που περιείχαν πληροφορίες προφίλ σχετικά με την κατ
αγωγή
άλλων χρηστών». Ωστόσο, η 23andMe δεν διευκρίνισε τον συνολικό αριθμό των «άλλων χρηστών» που επηρεάστηκαν από την παραβίαση.
Όλες οι λεπτομέρειες: Παραβίαση δεδομένων 23andMe
Περαιτέρω έρευνες αποκάλυψαν έναν ουσιαστικό αντίκτυπο: περίπου 6,9 εκατομμύρια άτομα ήταν θύματα αυτής της παραβίασης δεδομένων 23andMe. Σε δήλωση προς
TechCrunch
το Σάββατο, η εκπρόσωπος του 23andMe, Katie Watson, επιβεβαίωσε ότι η παραβίαση παραβίασε τα προσωπικά στοιχεία περίπου 5,5 εκατομμυρίων χρηστών που ήταν εγγεγραμμένοι στη λειτουργία 23andMe DNA Relatives.
Αυτή η δυνατότητα, η οποία διευκολύνει την αυτόματη κοινή χρήση δεδομένων μεταξύ των πελατών, οδήγησε στη μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, όπως ονόματα, χρόνια γέννησης, ετικέτες σχέσεων, το ποσοστό του DNA που μοιράζεται με συγγενείς, αναφορές καταγωγής και τοποθεσίες που αναφέρονται από τον ίδιο τον εαυτό τους.
Το 23andMe επαλήθευσε επιπλέον ότι μια ξεχωριστή ομάδα περίπου 1,4 εκατομμυρίων ατόμων που συμμετείχαν στη λειτουργία DNA Συγγενείς «είχαν πρόσβαση στις πληροφορίες του προφίλ τους στο Οικογενειακό Δέντρο». Αυτά τα παραβιασμένα δεδομένα περιλαμβάνουν εμφανιζόμενα ονόματα, ετικέτες σχέσεων, έτος γέννησης, τοποθεσία που αναφέρεται μόνος του και εάν ο χρήστης επέλεξε να μοιραστεί τις πληροφορίες του, σύμφωνα με τον εκπρόσωπο.
Οι λόγοι για την παράλειψη αυτών των στοιχείων από το 23andMe στην
αποκάλυψη
της Παρασκευής παραμένουν ασαφείς. Με την αποκάλυψη αυτών των νέων αριθμών, φαίνεται ότι η παραβίαση δεδομένων 23andMe επηρεάζει σχεδόν τους μισούς από τους αναφερόμενους συνολικά 14 εκατομμύρια πελάτες της 23andMe.
Πίστωση εικόνας
)
Πίσω στις αρχές Οκτωβρίου, ένας χάκερ ανέλαβε την ευθύνη για την κλοπή των πληροφοριών DNA των χρηστών του 23andMe, κάνοντας αυτόν τον ισχυρισμό σε ένα αξιόλογο φόρουμ hacking. Ως απόδειξη της παραβίασης, δημοσίευσαν υποτιθέμενα δεδομένα ενός εκατομμυρίου Εβραίων χρηστών Ασκενάζι και 100.000 Κινέζων χρηστών, με τιμολόγηση των δεδομένων από 1 έως 10 δολάρια ανά μεμονωμένο λογαριασμό. Δύο εβδομάδες μετά από αυτό, ο ίδιος χάκερ διαφήμισε υποτιθέμενα αρχεία για επιπλέον τέσσερα εκατομμύρια άτομα στο ίδιο φόρουμ.
Σύμφωνα με την έκθεση,
TechCrunch
ανακάλυψε ότι ένας άλλος χάκερ σε διαφορετικό φόρουμ hacking είχε ήδη προσφέρει μια συλλογή υποτιθέμενων κλεμμένων δεδομένων πελατών του 23andMe δύο μήνες πριν από την ευρέως αναγνωρισμένη διαφήμιση. Μια λεπτομερής ανάλυση από
TechCrunch
από αυτά τα παλαιότερα δεδομένα που διέρρευσαν αποκάλυψαν ότι ορισμένα αρχεία ταίριαζαν με γενετικές πληροφορίες που είχαν δημοσιευτεί στο διαδίκτυο από ενθουσιώδεις και γενεαλόγους. Παρά τη διαφορετική μορφοποίηση, τα δύο σύνολα δεδομένων μοιράζονταν μοναδικά στοιχεία χρήστη και γενετικά στοιχεία, υποδεικνύοντας ότι τα δεδομένα που διέρρευσαν ήταν τουλάχιστον εν μέρει αυθεντικά δεδομένα πελατών 23andMe.
Στην ανακοίνωσή τους τον Οκτώβριο σχετικά με την παραβίαση, η 23andMe απέδωσε το περιστατικό σε πελάτες που επαναχρησιμοποίησαν κωδικούς πρόσβασης. Αυτή η πρακτική επέτρεψε στους χάκερ να χρησιμοποιούν μεθόδους ωμής βίας στους λογαριασμούς των θυμάτων χρησιμοποιώντας δημόσια γνωστούς κωδικούς πρόσβασης από παραβιάσεις δεδομένων άλλων εταιρειών.
Ο αντίκτυπος της παραβίασης δεδομένων 23andMe ενισχύθηκε λόγω της δυνατότητας DNA Relatives, η οποία συνδέει τους χρήστες με τους συγγενείς τους. Αποκτώντας πρόσβαση σε έναν μόνο λογαριασμό, οι χάκερ μπορούσαν να δουν προσωπικά δεδομένα όχι μόνο του κατόχου του λογαριασμού αλλά και των συγγενών τους. Αυτή η μέθοδος αύξησε σημαντικά τον συνολικό αριθμό των ατόμων που επηρεάστηκαν από την παραβίαση δεδομένων 23andMe.
Πόση αποζημίωση θα πλήρωνε μια αμερικανική εταιρεία σε τέτοιες περιπτώσεις;
Η αποζημίωση ή οι κυρώσεις για παραβίαση δεδομένων που αφορά τα προσωπικά στοιχεία 7 εκατομμυρίων ατόμων μπορεί να ποικίλλουν σημαντικά και δεν καθορίζονται αποκλειστικά από προηγούμενες αποφάσεις. Διάφοροι παράγοντες επηρεάζουν την αποζημίωση ή τις κυρώσεις, όπως:
-
Φύση της παραβίασης:
Ήταν λόγω αμέλειας, έλλειψης μέτρων ασφαλείας ή εσκεμμένης επίθεσης; -
Τύπος δεδομένων που έχουν παραβιαστεί:
Εκτέθηκαν ευαίσθητα προσωπικά στοιχεία (όπως αριθμοί κοινωνικής ασφάλισης, οικονομικά στοιχεία, αρχεία υγείας); -
Νόμοι και κανονισμοί:
Διαφορετικές πολιτείες έχουν διαφορετικούς νόμους που διέπουν τις παραβιάσεις δεδομένων και υπάρχουν ομοσπονδιακοί κανονισμοί όπως η HIPAA (για δεδομένα υγειονομικής περίθαλψης) και ο GDPR (για τα δεδομένα των Ευρωπαίων πολιτών) που μπορεί επίσης να ισχύουν. -
Αποδεδειγμένη βλάβη:
Εάν η παραβίαση οδήγησε σε κλοπή ταυτότητας, οικονομικές απώλειες ή άλλη ζημιά στα επηρεαζόμενα άτομα, η αποζημίωση μπορεί να είναι υψηλότερη.
Πίστωση εικόνας
)
Δεν υπάρχει σταθερός τύπος ή προηγούμενο που να καθορίζει άμεσα αποζημίωση για έναν συγκεκριμένο αριθμό ατόμων που επηρεάζονται. Τα δικαστήρια ή οι ρυθμιστικοί φορείς συνήθως αξιολογούν αυτούς τους παράγοντες για να καθορίσουν ποινές,
πρόστιμα
ή αποζημιώσεις. Οι εταιρείες ενδέχεται επίσης να διαπραγματεύονται διακανονισμούς εκτός δικαστηρίου.
Για παράδειγμα, σε ορισμένες περιπτώσεις υψηλού προφίλ, οι εταιρείες έχουν πληρώσει διακανονισμούς που κυμαίνονται από χιλιάδες έως εκατομμύρια ή ακόμη και δισεκατομμύρια δολάρια, ανάλογα με τη σοβαρότητα και τον αντίκτυπο της παραβίασης. Κάθε περίπτωση είναι μοναδική και τείνει να αξιολογείται μεμονωμένα με βάση τις περιστάσεις και τους νόμους που ισχύουν εκείνη τη στιγμή.
Παραδείγματα περιστατικών
Λάβετε υπόψη ότι κάθε περίπτωση περιλαμβάνει διαφορετικές περιστάσεις, πληθυσμούς που επηρεάζονται και νομικά πλαίσια, επομένως τα αποτελέσματα μπορεί να διαφέρουν για τα θύματα παραβίασης δεδομένων 23andMe.
Παραβίαση δεδομένων Equifax
Ως απάντηση σε μια παραβίαση δεδομένων που επηρέασε περίπου 147 εκατομμύρια άτομα, η Equifax συμφώνησε σε διακανονισμό περίπου 700 εκατομμυρίων δολαρίων. Αυτή η συμφωνία περιλάμβανε οικονομική αποκατάσταση για όσους επηρεάστηκαν, επέβαλε κυρώσεις και διατάξεις για υπηρεσίες συνεχούς παρακολούθησης πιστώσεων.
Παραβίαση δεδομένων Horizon
Στον διακανονισμό σχετικά με την παραβίαση δεδομένων Horizon, τα μέλη της κατηγορίας διακανονισμού που υποβάλλουν αξίωση δικαιούνται μια σειρά αποζημιώσεων:
- Αποζημίωση για πραγματικές, τεκμηριωμένες και μη αποζημιωμένες από την τσέπη δαπάνες που πραγματοποιήθηκαν λόγω του Συμβάντος Ασφάλειας Δεδομένων, με μέγιστο όριο τα 5.000 $.
- Αποζημίωση για το χρόνο που επενδύθηκε για την αντιμετώπιση ζητημάτων που προκύπτουν από το Περιστατικό Ασφάλειας Δεδομένων, περιορισμένο σε 5 ώρες με επιτόκιο 25,00 $ ανά ώρα, συνολικού ανώτατου ορίου 125 $.
- Μια πληρωμή μετρητών έως και $50 διαθέσιμη σε όλα τα μέλη της κατηγορίας διακανονισμού που στοιχηματίζουν μια αξίωση. Επιπλέον, προβλέπεται μια επιπλέον πληρωμή έως και 50 $ για όσους διέμεναν στην Καλιφόρνια τη στιγμή του Συμβάντος Ασφάλειας Δεδομένων.
Πίστωση εικόνας
)
Διακανονισμός απορρήτου στο Facebook
Η ακριβής αποζημίωση για κάθε ενάγοντα στον διακανονισμό απορρήτου του Facebook ποικίλλει με βάση διάφορα κριτήρια, συμπεριλαμβανομένης της διάρκειας της δραστηριότητάς του στην πλατφόρμα. Ενώ τα ακριβή ποσά είναι δύσκολο να προβλεφθούν, η μέση εκτιμώμενη πληρωμή είναι περίπου $30, σύμφωνα με τις προβλέψεις του συμβούλου της τάξης.
Παραβίαση δεδομένων T-
Mobile
Εάν εγκριθεί, ο προτεινόμενος διακανονισμός 350 εκατομμυρίων δολαρίων της T-Mobile θα καταταγεί ως η δεύτερη μεγαλύτερη πληρωμή σε περίπτωση παραβίασης δεδομένων στις ΗΠΑ. Αυτός ο διακανονισμός, που σχετίζεται με μια κυβερνοεπίθεση του 2021 που αποκάλυψε προσωπικά στοιχεία περισσότερων από 100 εκατομμυρίων χρηστών, μπορεί ενδεχομένως να εκχωρηθεί τόσο σε σημερινούς όσο και σε πρώην πελάτες της T-Mobile.
Ετσι…
Ενώ τα αποτελέσματα των διακανονισμών παραβίασης δεδομένων μπορεί να ποικίλλουν σημαντικά ανάλογα με τους νομικούς παράγοντες και τις συγκεκριμένες περιστάσεις της υπόθεσης, παραμένει αβέβαιο τι θα συνεπάγεται η τελική επίλυση της παραβίασης δεδομένων 23andMe. Η αποζημίωση και τα ένδικα μέσα που παρέχονται στα θιγόμενα μέρη συχνά διαφέρουν ανάλογα με τη φύση της παραβίασης, την έκταση των δεδομένων που διακυβεύονται και το νομικό πλαίσιο της δικαιοδοσίας. Ως εκ τούτου, η πρόβλεψη του ακριβούς αποτελέσματος για το περιστατικό 23andMe είναι πρόκληση, καθώς κάθε περίπτωση υπόκειται στο μοναδικό σύνολο μεταβλητών και νομικών εκτιμήσεων.
Πίστωση επιλεγμένης εικόνας:
Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA:
DataConomy.com