基因检测提供商23andMe在美国面临多起集体诉讼,此前发生了大规模数据泄露事件,据信影响了数百万客户。
上个月底,我……
黑客泄露了23andMe的客户数据
黑客论坛上有一个名为“名人德系犹太人DNA数据。CSV”的CSV文件。
据称,该文件包含了近100万德系犹太人的数据,这些犹太人使用23andMe服务来查找他们的祖先信息、遗传倾向等。
来源:BleepingComputer
CSV文件中包含了23andMe用户的账号、全名、性别、出生日期、DNA图谱、位置、地区等信息。
上周,最初的黑客决定撤回这篇帖子,转而开始出售被盗23andMe数据的数据档案。然而,其他威胁行为者继续在网络犯罪社区和论坛上分享23andMe的原始泄漏。
在回应调查时,23andMe告诉BleepingComputer,黑客通过对安全性较弱的账户进行凭证填充攻击,进入了该公司的平台。然而,他们驳斥了有关其系统存在直接安全漏洞的说法。
23andMe的一位发言人解释说,攻击者最初未经授权访问了一小部分账户,但最终泄露了更多客户的数据,但数量尚未确定,因为他们激活了一个名为“DNA亲属”的可选功能,该功能将基因亲属联系在一起。
在我们的报告发表后,23andMe
发布公告
该公司在其网站上承诺,将个别通知受影响的客户,并向他们通报在第三方专家和执法部门的帮助下正在进行的调查结果。
无数诉讼被提起
虽然平台成员自愿激活了选择加入功能,但并不是所有人都认为内部数据共享的风险应该免除公司设置保护层的责任。
在这种情况下,许多人通过在他们的帐户上启用2FA并使用强大且唯一的密码来遵循适当的安全实践,但他们仍然发现自己暴露了,他们的敏感数据泄露到网络犯罪论坛上。
在加州,至少有四宗集体诉讼被提交(
桑塔纳
,
伊甸园
,
Andrizzi
,
拉蒙
)寻求赔偿23andMe未能保护其数据所造成的损害。
这些诉讼突显出,该公司的官方声明中缺乏有关安全事件、客户数据安全现状、网络漏洞持续时间以及网络攻击确切机制的信息。
此外,他们批评23andMe未能实施足够的安全措施,这些措施将有助于监控其网络的异常活动,并可能采取行动,以更快地阻止入侵。
23andMe是一家管理敏感医疗数据的公司,该公司应该充分意识到网络安全威胁的上升,因为该行业发生了许多引人注目的数据泄露事件,这突显了此类数据的高价值。
“在所有相关时间,被告对原告和集体成员有责任妥善保护他们的PII,使用行业标准方法加密和维护这些信息,培训其员工,利用可用技术保护其系统免受入侵,采取合理行动防止对原告和集体成员造成可预见的伤害,并在被告意识到他们的PII可能已被泄露时立即通知原告和集体成员。”——桑塔纳诉23andMe公司
投诉
原告要求23andMe获得各种经济救济,包括赔偿、终身信用监控、实际、补偿性和法定损害赔偿和罚款、惩罚性赔偿以及律师费。
其中一项投诉
定义了
每位集体诉讼成员的名义损害赔偿为1,000美元,惩罚性损害赔偿为3,000美元,此外还有各种其他救济请求。
如若转载,请注明出处:https://www.ozabc.com/anquan/537064.html