شركة الاختبارات الجينية 23andMe تواجه دعوى قضائية جماعية بعد الوصول إلى بيانات المستخدمين دون إذن – وهو انتهاك تلقي باللوم فيه على العملاء الذين استخدموا كلمة مرور مُعاد تدويرها كبيانات اعتماد تسجيل الدخول لحساباتهم على موقع الويب الخاص بشركة DNA الرئيسية.
كتبت 23andMe في رسالة ردًا على المحامين الذين يمثلون العملاء الذين تم الكشف عن بياناتهم أنه لم يحدث أي انتهاك بموجب أحكام قانون حقوق الخصوصية في كاليفورنيا لأن المستخدمين المستهدفين في الانتهاك الأولي كانوا يستخدمون بيانات اعتماد تسجيل الدخول التي تم الكشف عنها في الانتهاكات التي تنطوي على مواقع ويب أخرى من خلال الاستخدام. لتكتيك يسمى “حشو أوراق الاعتماد”. تم الإبلاغ عن الرسالة لأول مرة بواسطة TechCrunch وتم تأكيدها بشكل مستقل بواسطة FOX Business.
وكررت الشركة الموقف الذي اتخذته عندما كشفت لأول مرة عن الحادث في أكتوبر، حيث كتبت أن “جهات فاعلة غير مصرح لها تمكنت من الوصول إلى حسابات مستخدمين معينة في الحالات التي أعاد فيها المستخدمون استخدام بيانات اعتماد تسجيل الدخول الخاصة بهم – أي أن المستخدمين استخدموا نفس أسماء المستخدمين وكلمات المرور المستخدمة في 23andMe.com كما هو الحال في المواقع الإلكترونية الأخرى التي كانت خاضعة للحظر السابق اختراقات أمنية، وقام المستخدمون بإهمال بإعادة تدوير كلمات المرور الخاصة بهم وفشلوا في تحديثها بعد هذه الحوادث الأمنية السابقة، والتي لا علاقة لها بـ 23and Me.”
تم استهداف حوالي 14000 حساب لمستخدمي 23andMe في الحادث الأولي واستخدم المتسللون تلك الحسابات للوصول إلى بيانات 6.9 مليون مستخدم. من بين 14000 حساب أولي تم اختراقه، تمكن المتسلل من الوصول إلى معلومات من حوالي 5.5 مليون ملف تعريف لأقارب الحمض النووي وما يقرب من 1.4 مليون ملف تعريف لميزة شجرة العائلة متصلة بالحسابات المخترقة.
23ANDME تؤكد وصول المتسللين إلى بيانات 6.9 مليون مستخدم
وقالت الشركة في ديسمبر/كانون الأول إن لديها 14 مليون ملف تعريف للعملاء في ذلك الوقت.
ولم تستجب شركة 23andMe على الفور لطلب التعليق.
| شريط | حماية | آخر | يتغير | يتغير ٪ |
|---|---|---|---|---|
| أنا | شركة 23 أندمي القابضة | 0.84 | -0.07 | -8.04% |
وقال حسن ظفاري، المحامي الذي يمثل الضحايا الذين يرفعون دعوى جماعية ضد 23andMe، في بيان: “بدلاً من الاعتراف بدورها في هذه الكارثة الأمنية، قررت 23andMe على ما يبدو ترك عملائها في حالة جفاف مع التقليل من خطورة هذه الأحداث”. المقدمة إلى FOX Business.
وأشار أيضًا إلى أن “الاختراق أثر على ملايين المستهلكين الذين تم الكشف عن بياناتهم من خلال ميزة DNA Relatives على منصة 23andMe، لا لأنهم استخدموا كلمات مرور مُعاد تدويرها.”
معلومات الملف الشخصي لشركة 23ANDME لبعض أسطح العملاء على الويب المظلم
وأضاف زافاري: “من بين هذه الملايين، تم اختراق بضعة آلاف فقط من الحسابات بسبب حشو بيانات الاعتماد”. “إن محاولة 23andMe للتهرب من المسؤولية من خلال إلقاء اللوم على عملائها لا تفعل شيئًا لهؤلاء الملايين من المستهلكين الذين تعرضت بياناتهم للخطر دون أي خطأ من جانبهم على الإطلاق.”
في أعقاب الاختراق، نشر المتسللون ما يقرب من مليون نقطة بيانات مرتبطة بمستخدمي التراث اليهودي الأشكناز وبيانات مماثلة تتعلق بأكثر من 300000 مستخدم لديهم التراث الصيني.
اتخذت 23andMe أيضًا خطوات لتغيير بيانات المستخدمين بروتوكولات الأمن من خلال طلب استخدام المصادقة الثنائية لجميع المستخدمين الجدد والحاليين وكذلك توجيه كل عميل لإعادة تعيين كلمة المرور الخاصة به.
وانخفض سهم الشركة بنسبة تزيد عن 8٪ خلال تعاملات بعد ظهر يوم الأربعاء.
