تواجه شركة الاختبارات الجينية 23andMe دعوى قضائية جماعية بعد الوصول إلى بيانات المستخدمين دون تصريح – وهو انتهاك تلقي باللوم فيه على العملاء الذين استخدموا كلمة مرور مُعاد تدويرها كبيانات اعتماد لتسجيل الدخول لحساباتهم على الموقع الإلكتروني لشركة DNA الرئيسية.
كتبت 23andMe في رسالة ردًا على المحامين الذين يمثلون العملاء الذين تم الكشف عن بياناتهم أنه لم يحدث أي انتهاك بموجب أحكام قانون حقوق الخصوصية في كاليفورنيا لأن المستخدمين المستهدفين في الانتهاك الأولي كانوا يستخدمون بيانات اعتماد تسجيل الدخول التي تم الكشف عنها في الانتهاكات التي تنطوي على مواقع ويب أخرى من خلال الاستخدام. لتكتيك يسمى “حشو أوراق الاعتماد”. تم الإبلاغ عن الرسالة لأول مرة بواسطة TechCrunch وتم تأكيدها بشكل مستقل بواسطة FOX Business.
وكررت الشركة الموقف الذي اتخذته عندما كشفت لأول مرة عن الحادث في أكتوبر، حيث كتبت أن “جهات فاعلة غير مصرح لها تمكنت من الوصول إلى حسابات مستخدمين معينة في الحالات التي أعاد فيها المستخدمون استخدام بيانات اعتماد تسجيل الدخول الخاصة بهم – أي أن المستخدمين استخدموا نفس أسماء المستخدمين وكلمات المرور المستخدمة في 23andMe.com كما هو الحال في مواقع الويب الأخرى التي تعرضت لانتهاكات أمنية سابقة، وقام المستخدمون بإهمال بإعادة تدوير كلمات المرور الخاصة بهم وفشلوا في تحديثها بعد هذه الحوادث الأمنية السابقة، والتي لا علاقة لها بـ 23andMe.
تم استهداف حوالي 14000 حساب لمستخدمي 23andMe في الحادث الأولي واستخدم المتسللون تلك الحسابات للوصول إلى بيانات 6.9 مليون مستخدم. من بين 14000 حساب أولي تم اختراقه، تمكن المتسلل من الوصول إلى معلومات من حوالي 5.5 مليون ملف تعريف لأقارب الحمض النووي وما يقرب من 1.4 مليون ملف تعريف لميزة شجرة العائلة متصلة بالحسابات المخترقة.
وقالت الشركة في ديسمبر/كانون الأول إن لديها 14 مليون ملف تعريف للعملاء في ذلك الوقت.
ولم تستجب شركة 23andMe على الفور لطلب التعليق.
وقال حسن ظفاري، المحامي الذي يمثل الضحايا الذين يرفعون دعوى جماعية ضد 23andMe، في بيان: “بدلاً من الاعتراف بدورها في هذه الكارثة الأمنية، قررت 23andMe على ما يبدو ترك عملائها في حالة جفاف مع التقليل من خطورة هذه الأحداث”. المقدمة إلى FOX Business.
وأشار أيضًا إلى أن “الاختراق أثر على ملايين المستهلكين الذين تم الكشف عن بياناتهم من خلال ميزة DNA Relatives على منصة 23andMe، لا لأنهم استخدموا كلمات مرور مُعاد تدويرها.”
وأضاف زافاري: “من بين هذه الملايين، تم اختراق بضعة آلاف فقط من الحسابات بسبب حشو بيانات الاعتماد”. “إن محاولة 23andMe للتهرب من المسؤولية من خلال إلقاء اللوم على عملائها لا تفعل شيئًا لهؤلاء الملايين من المستهلكين الذين تعرضت بياناتهم للخطر دون أي خطأ من جانبهم على الإطلاق.”
وفي أعقاب الاختراق، نشر المتسللون ما يقرب من مليون نقطة بيانات مرتبطة بمستخدمي التراث اليهودي الأشكناز وبيانات مماثلة تتعلق بأكثر من 300 ألف مستخدم من التراث الصيني.
اتخذت 23andMe أيضًا خطوات لتغيير بروتوكولات أمان المستخدمين من خلال طلب استخدام المصادقة الثنائية لجميع المستخدمين الجدد والحاليين وكذلك توجيه كل عميل لإعادة تعيين كلمة المرور الخاصة به.
وانخفض سهم الشركة بنسبة تزيد عن 8٪ خلال تعاملات بعد ظهر يوم الأربعاء.
