10 月份发生的 23andMe 泄露事件已被证实比最初报道的严重得多,影响了 690 万人,而不是最初想象的 14,000 名用户。
泄露中被盗的信息包括用户的全名、出生年份、关系标签和位置。大约 140 万用户的该服务的 Family Tree 个人资料信息也遭到泄露。一位发言人表示,黑客还可以访问泄露中的遗传信息,包括与亲属共享的常见 DNA 百分比的详细信息,以及染色体匹配等细节。
报告显示,这些数据已经在黑市上出售,多个族裔群体已经成为目标,不良行为者在数据集中以 1 到 10 美元的价格出售单个人的信息。与此同时,血统追踪网站似乎正在掩盖其踪迹,迅速向用户发送了服务条款更新,其中详细说明了有关此事的任何法律投诉都必须在法庭外解决。这将禁止用户尝试将集体诉讼作为主要诉讼,除非他们选择退出私人解决方案。
如果用户想要提起集体诉讼,他们必须集体选择退出私人纠纷,并且可以在更新后 30 天内(即 12 月 30 日)发送电子邮件至仲裁[email protected]。此信息详细信息请参阅末尾Gizmodo指出,这是 23andMe 服务条款更新的第五部分。
在一份关于此事的声明中,23andMe 试图进一步转移责任,并在一份声明中详细说明,此次违规事件的发生是由于成员重复使用其他帐户的密码。这种常见的网络攻击被称为撞库攻击,它允许黑客收集已经泄露的密码来访问最初的 14,000 个帐户。一位发言人表示,从那里,他们能够跨越公司数据库的更多部分来窃取信息。
目前,该漏洞的早期影响尚不清楚,但随着时间的推移肯定会变得明显。专家详细说明,即使在线收集消费者数据是合法的,也可能存在隐性偏见,影响招聘决策、公寓选择、信贷申请和保险费。在非法情况下,可能会发生身份盗窃。
值得注意的是,Meta(前 Facebook)在 4 月份以 7.25 亿美元和解了一项集体诉讼,其中详细说明该社交媒体平台将用户及其朋友的数据暴露给第三方以获取利润。该诉讼补充说,Facebook 对于第三方如何与其用户数据进行交互没有任何规则或隐私保护。
电子隐私信息中心法律研究员苏珊娜·伯恩斯坦 (Suzanne Bernstein) 告诉该刊物,同样,23andMe 泄露事件也有可能导致基因数据落入坏人之手,从而根据健康信息(例如诊断或家族病史)对个人进行推断。
虽然该公司的用户没有严格的密码卫生要求,但其他专家指出,像 23andMe 这样的小众组织应该从网络安全的角度认识到自己的地位。托管此类敏感数据使该公司成为网络攻击的主要目标,并且需要备份登录要求,例如双因素身份验证(2FA)。