Çok sayıda dava karşısında 23andMe, milyonlarca kullanıcının geçen sonbaharda sızdırılan genetik kayıtlarının sorumluluğunu reddediyor.
İçinde bir grup kullanıcıya gönderilen mektup TechCrunch tarafından ele geçirilen şirkete dava açan biyoteknoloji şirketini temsil eden avukatlar, ifşa edilmiş olabilecek verilerden kullanıcıların sorumlu olduğunu öne sürdü.
Olduğu gibi geçen ay açıklandı, bilgisayar korsanları şirketin dahili sistemlerini ihlal etmedi. Bunun yerine, kimlik bilgileri doldurmayı kullanarak yaklaşık 14.000 hesaba erişim elde ettiler, ardından sitenin isteğe bağlı DNA Akrabaları paylaşım özelliği aracılığıyla yaklaşık yedi milyondan fazla hesaba erişim sağladılar.
Bu iddia, hem mahkemeler hem de daha geniş siber güvenlik sektörü için önemli bir soruyu gündeme getiriyor: Kimlik bilgileri doldurulduğunda, hizmet sağlayıcıya karşı kullanıcıya ne kadar sorumluluk düşüyor?
Exabeam’in başkan yardımcısı ve baş güvenlik stratejisti Steve Moore, “Herkes hijyenik olmayan bir kimlik bilgisi kullanmamanın daha iyi olduğunu bilmeli” diyor. “Ancak aynı zamanda hizmeti sağlayan kuruluşun bu riski sınırlandıracak kapasiteye sahip olması gerekiyor.”
23andMe’nin Mantığı
23andMe’ye dava açan kullanıcı grubu, şirketin Kaliforniya Gizlilik Hakları Yasası’nı (CPRA), Kaliforniya Tıbbi Bilgilerin Gizliliği Yasası’nı (CMIA) ve Illinois Genetik Bilgi Gizliliği Yasası’nı (GIPA) ihlal ettiğini ve bir dizi başka genel hukuk ihlali yaptığını iddia ediyor .
Şirketin avukatları, ilk noktaya ilişkin olarak şunları açıkladı: “Kullanıcılar, 23andMe ile ilgisi olmayan, oturum açma bilgilerini etkileyen daha önceki olayların ardından, şifrelerini ihmalkar bir şekilde geri dönüştürdüler ve güncellemediler.” CPRA kapsamında güvenlik önlemleri.” Benzer mantık GIPA için de geçerli ancak “23andMe, burada Illinois yasalarının geçerli olduğuna inanmıyor” dedi.
23andMe’nin tam olarak buna uygun olduğu söylenemez tüm yüce güvenlik vaatleri. Bununla birlikte, kimlik doğrulama uygulamasıyla iki adımlı doğrulama da dahil olmak üzere, kimlik bilgilerinin doldurulmasını önleyebilecek, müşterilerin kullanımına sunulan hesap güvenliği özellikleri mevcuttu. Ve şirketin talimatlarını takip ederek ilk keşif ve kamuya duyurukolluk kuvvetlerine bildirimde bulunmak, tüm aktif kullanıcı oturumlarını sonlandırmak ve tüm kullanıcıların şifrelerini sıfırlamasını zorunlu kılmak da dahil olmak üzere bir dizi standart güvenlik iyileştirmesi uyguladı.
Avukatlar, “Aynı derecede önemli olan, potansiyel olarak erişilen bilgilerin herhangi bir zarar vermek amacıyla kullanılamaz.” diye yazdı. “Bir müşterinin 23andMe platformunda oluşturduğu ve diğer kullanıcılarla paylaşmayı seçtiği DNA Akrabaları özelliği ile ilgili olarak erişilmiş olabilecek profil bilgileri” ve “yetkisiz aktörün davacılar hakkında potansiyel olarak elde ettiği bilgiler bu amaçla kullanılamaz.” maddi zarara neden olmak (sosyal güvenlik numarası, ehliyet numarası veya herhangi bir ödeme veya mali bilgi içermiyordu).
çalınan verilerin niteliği Mektupta ayrıca CMIA’nın “bireysel olarak tanımlanabilir olmasına rağmen ‘tıbbi bilgi’ teşkil etmediği” gerekçesiyle dikkate alınmadığı belirtiliyor.
Kimlik Bilgileri Sızıntısında Kim Sorumlu?
23andMe hesapları benzersiz bir şekilde güvensiz değildir. Moore, “Kabul etmek isteseler de istemeseler de, bir müşteri portalına sahip olduğunu düşünebileceğiniz her kuruluşta bu sorun vardır, ancak her zaman bu ölçekte değildir” diyor.
Böylece daha geniş ve daha derin bir sorun ortaya çıkıyor. Yeniden kullanılan herhangi bir parolanın sorumlusu kullanıcı olabilir, ancak bu uygulamanın yanlış olduğunu bilerek Web genelinde endemikhesapları koruma sorumluluğunun bir kısmı servis sağlayıcıya mı düşüyor?
Moore, “Sorumluluğun paylaşıldığını düşünüyorum. Ve bu eğlenceli bir yanıt değil” diye itiraf ediyor.
Bir yandan, kullanıcılar bir en iyi uygulamaların çamaşırhane listesi Hesabın ele geçirilmesinin imkansız değil ama en azından çok zor olacağından emin olabilirler.
Moore aynı zamanda şirketlerin, ellerindeki birçok araçla müşterilerini korumak için kendi güçlerini kullanmaları gerektiğine dikkat çekiyor. Siteler, çok faktörlü kimlik doğrulama sunmanın (veya gerektirmenin) ötesinde, güçlü şifre eşikleri uygulayabilir ve alışılmadık yerlerden veya olağandışı sıklıklardan oturum açıldığında kullanıcılara bildirimde bulunabilir. “O halde hukuki açıdan bakıldığında: Hizmet koşullarınız ve kabul edilebilir kullanım politikanız ne diyor? Bir kullanıcı bir sözleşmeyi kabul ettiğinde, hijyeninin ne olacağını kabul etmiş olur?” O sorar.
“Bence bu konuda, eğer hassas kişisel bilgileri yönetiyorsanız, müşteri portallarının güçlü kimlik bilgilerini kontrol etmek için bir yol, bilinen ihlallere karşı kontrol etmek için bir yol sunması gerektiğini ve bunun doğru olduğundan emin olmanın bir yolunu sunması gerektiğini söyleyen bir müşteri hakları beyannamesi olması gerektiğini düşünüyorum. Uyarlanabilir kimlik doğrulamanız veya SMS gibi yanıltıcı yöntemler kullanmayan çok faktörlü olmanız durumunda şunu söyleyebiliriz: Bu minimum gereksinimdir” diyor.