Bir şirket bir sürü kullanıcı verisini kaybettiğinde ne olur? Tipik olarak özür dilerler ve utangaç bir şekilde bağışlanmak için yalvarırlar. 23andMe’de durum böyle değil. Popüler genomik şirketi zarara uğradı oldukça korkunç veri ihlali Geçen yıl bunun yerine kızgın müşterilere, verilerinin güçlendirilmesini istemiyorlarsa muhtemelen daha iyi bir şifre seçmeleri gerektiğini söylemeyi tercih etti.
Açıklığa kavuşturmak gerekirse, geçen yıl çok sayıda kullanıcı hesabının siber suçlular tarafından ele geçirilmesi nedeniyle 23andMe şu anda çok sayıda kişi tarafından dava ediliyor veya daha doğrusu yasal olarak saldırıya uğruyor. İhlal haberi ilk olarak müşteri verilerinin dark web’de satışa sunulduğu Ekim ayında ortaya çıktı. Bu noktada 23andMe halka şunları söyledi: yalnızca yaklaşık 14.000 hesap tehlikeye atılmıştı. Ancak daha sonra yapılan araştırmalar, bu hesaplarla bağlantılı dahili veri paylaşım özelliği nedeniyle etkilenen kişilerin gerçek sayısının muhtemelen 6,9 milyon civarında olduğunu ortaya çıkardı.
Yani evet, insanlar doğal olarak oldukça sinirlendiler ve sonuç olarak genomik şirketini dava etmeye çalışıyorlar. Buradaki anahtar kelime “denemektir” çünkü 23andMe’nin hizmet şartları sözleşmesindeki bazı tartışmalı eklemeler nedeniyle toplu davaların (toplu dava gibi) başarılması oldukça zordur. Bunun yerine şirketin Hizmet Koşulları, kullanıcıların şirketi dava etme fırsatından vazgeçmeleri ve bunun yerine “zorunlu tahkim” yolunu denemeleri gerektiğini şart koşuyor. alternatif yasal yol uzmanların iddia ettiği şey ağır ağırlıklı şirketlerin lehine. Yine de bir takım toplu davalar dosyalandı Görünüşe göre şirketin orijinal anlaşmasını geçersiz kılmak amacıyla şirkete karşı.
Esprili bir şekilde, 23andMe yalnızca mahkeme dışında kalmayı tercih etmekle kalmıyor, aynı zamanda veri ihlalindeki asıl suçlunun kendisi olduğunu da inkar ediyor gibi görünüyor. Örnek olay: Çarşamba günü TechCrunch rapor edildi genom bilimi şirketinin, kendisine karşı bir davayı yürüten firmalardan biri olan Tycko & Zavareei LLP’nin hukuk bürolarına gönderdiği bir mektupta, şirket yanlış bir davranışı inkar ediyormuş gibi görünüyordu ve bazı durumlarda etkilenen müşterilere işaret ediyordu. mektupHukuk firmasının ofislerine gönderilen belgenin bir bölümünde şöyle diyor:
“…kullanıcılar, 23andMe ile ilgisi olmayan geçmiş güvenlik olaylarının ardından, şifrelerini ihmalkar bir şekilde geri dönüştürdüler ve güncellemediler…Bu nedenle olay, 23andMe’nin makul güvenlik önlemlerini almadığı iddiasının bir sonucu değildi…”
Başka bir deyişle 23andMe, tüm bu veri fiyaskosunun gerçekte kendi hatası olmadığını söylüyor gibi görünüyor. Bu, şirketin daha önce belirttiği, tüm olayın gerçek suçlusunun kötü hesap güvenliği olduğu ve kendi sistemlerinin suçlular tarafından hiçbir zaman ihlal edilmediği yönündeki beyanıyla tutarlıdır. Ancak eleştirmenler, 23andMe’nin muhtemelen kullanıcıların çok faktörlü kimlik doğrulamasını kullanmasını gerektirmesi gerektiğine dikkat çekti; bu, ihlalden önce uymadığı endüstri standardı bir güvenlik uygulamasıydı. Şirket, ancak kullanıcıların verileri çalındıktan sonra zorunlu 2FA’yı uygulamaya koydu.
23andMe’nin mektubuna yanıt olarak avukat Hassan Zavareei, Gizmodo’ya şunları söyledi: “23andMe, ihlalle ilgili tüm sorumluluğu reddediyor ve verilerin diğer sitelerden oturum açma bilgilerini geri dönüştüren müşterilerin hesapları aracılığıyla çalındığı gerekçesiyle utanmadan ihlalden müşterilerini suçluyor.”
Bir telefon görüşmesinde Zavareei ayrıca 23andMe’nin tahkim sürecini daha zahmetli ve yönetilmesi zor hale getirmek için yakın zamanda Hizmet Koşullarını güncellediğine de dikkat çekti. Diğer hukuk uzmanları aynı fikirde Şirketin yakın zamandaki sözleşme değişikliklerinin, etkilenen kullanıcıların bir araya gelerek toplu davaya daha çok benzeyen ve dolayısıyla mağdurlar için daha avantajlı ve uygun bir süreç olan “toplu tahkime” başvurmalarını zorlaştırdığı belirtildi.
Tahkim şartının etrafından dolanmanın bir yolu var mı? Zavareei’ye göre mağdurların geleneksel davalara başvurabilecekleri bazı varsayımsal senaryolar var.
“Onlar [23andMe] Tahkimi iptal edebilir ve mahkemede dava açmayı kabul edebilir ve tahkim şartına başvurmayabilir,” dedi Zavareei. “Niyetlerinin bu olduğuna dair hiçbir göstergemiz yok. Binlerce tahkim yerine her şeyi bir kerede çözmek isteselerdi bunu yapabilirlerdi. [cases].” Avukat ayrıca, bu davalardaki davacıların “tahkim şartına itiraz edebileceğini ve tahkim şartının uygulanamaz olduğunu söyleyebileceğini” söyledi. Çok sayıda var [legal] Bir zamanlar maddenin uygulanamaz ve mantıksız olduğunu ortaya koyabilecek argümanlar.
Başka bir deyişle, 23andMe, bunun sürüyle bireysel tahkimle uğraşmaktan daha basit olacağını düşünürse, daha geleneksel bir dava sürecini şansa bırakmaya karar verebilir. Veya varsayımsal olarak etkilenen müşteriler şirketin tahkim şartına itiraz edebilir. Bununla birlikte, bu olasılıkların her ikisi de pek olası görünmüyor.
Gizmodo yorum yapmak için 23andMe’ye ulaştı ancak yanıt alamadı. Cevap verirse bu hikayeyi güncelleyeceğiz.