Η εταιρεία δοκιμών DNA, 23andMe, υποστήριξε ότι οι πελάτες-θύματα είναι υπεύθυνοι για την παραβίαση δεδομένων που συνέβη στα συστήματά της πριν από μερικούς μήνες.
Η 23andMe κατηγόρησε τους χρήστες των οποίων οι λογαριασμοί παραβιάστηκαν λόγω του ότι χρησιμοποιούσαν τους ίδιους κωδικούς σε πολλές εφαρμογές καθώς και λόγω του ότι απέτυχαν να ενημερώσουν τους κωδικούς πρόσβασής τους.
Η εταιρεία δοκιμών DNA υποστήριξε ότι αυτό επέτρεψε στους εισβολείς να ξεκινήσουν μια εκστρατεία credential stuffing χρησιμοποιώντας ονόματα χρήστη και κωδικούς πρόσβασης στους οποίους είχαν πρόσβαση από άλλες παραβιάσεις.
Δείτε επίσης: HealthEC LLC: Παραβίαση δεδομένων επηρεάζει 4,5 εκατ. ασθενείς
Η 23andMe κατηγορεί τα θύματα και διώχνει από πάνω της την ευθύνη
“Η 23andMe πιστεύει ότι οι μη εξουσιοδοτημένοι φορείς κατάφεραν να αποκτήσουν πρόσβαση σε συγκεκριμένους λογαριασμούς χρηστών επειδή αυτοί οι χρήστες επαναχρησιμοποιούσαν τα credentials σύνδεσης – δηλαδή, οι χρήστες χρησιμοποιούσαν τα ίδια ονόματα χρήστη και κωδικούς πρόσβασης στο 23andMe.com και σε άλλους ιστότοπους που είχαν υποστεί προηγούμενες παραβιάσεις ασφαλείας. Οι χρήστες εξακολουθούσαν να χρησιμοποιούν τα credentials και απέτυχαν να ενημερώσουν τους κωδικούς πρόσβασής τους μετά από αυτά τα προηγούμενα συμβάντα ασφαλείας, τα οποία δεν σχετίζονται με την 23andMe“, ανέφερε η εταιρεία σε μια επιστολή, η οποία στάλθηκε στην TechCrunch.
“Ως εκ τούτου, το περιστατικό δεν ήταν αποτέλεσμα της υποτιθέμενης αποτυχίας της 23andMe να διατηρήσει εύλογα μέτρα ασφαλείας βάσει του CPRA [Νόμος για τα Δικαιώματα Απορρήτου της Καλιφόρνιας]“, πρόσθεσε η 23andMe.
Η παραβίαση δεδομένων έλαβε χώρα τον Οκτώβριο του 2023, επηρεάζοντας ευαίσθητες πληροφορίες σχεδόν 7 εκατομμυρίων πελατών.
Δείτε επίσης: Xerox: Η θυγατρική XBS U.S. έπεσε θύμα ransomware επίθεσης και παραβίασης δεδομένων
Οι hackers είχαν αρχικά πρόσβαση σε περίπου 14.000 λογαριασμούς χρηστών μέσω της καμπάνιας credential stuffing. Στη συνέχεια χρησιμοποίησαν αυτές τις πληροφορίες για να αποκτήσουν πρόσβαση στα προσωπικά δεδομένα 6,9 εκατομμυρίων χρηστών που είχαν επιλέξει τη λειτουργία DNA Relatives της 23andMe.
Στην επιστολή της, η εταιρεία είπε ακόμα ότι οι πληροφορίες στις οποίες δυνητικά είχε πρόσβαση ο εισβολέας, δεν θα μπορούσαν να χρησιμοποιηθούν για την πρόκληση “υλικής βλάβης”, καθώς δεν περιελάμβαναν τον αριθμό κοινωνικής ασφάλισης, τον αριθμό άδειας οδήγησης ή οποιαδήποτε στοιχεία πληρωμής.
23andMe: Αντιδράσεις εναντίον της εταιρείας
Αρχικά, οι πελάτες είχαν κατηγορήσει την εταιρεία για την απουσία επαρκών μέτρων για την ασφάλεια των λογαριασμών χρηστών, γεγονός που οδήγησε στην παραβίαση.
Μετά από το περιστατικό, η 23andMe επιβεβαίωσε ότι έχει προσθέσει νέα μέτρα ασφαλείας. Αυτό περιλαμβάνει τον τερματισμό όλων των ενεργών συνδεδεμένων λογαριασμών χρηστών, την απαίτηση επαναφοράς κωδικού πρόσβασης σε όλους τους λογαριασμούς και την απαίτηση από όλους τους πελάτες να χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων.
Οι ειδικοί του κλάδου επέκριναν έντονα τον ισχυρισμό της 23andMe ότι τα θύματα έφταιγαν για την παραβίαση δεδομένων.
Ο ειδικός ασφαλείας Erfan Shadabi σχολίασε ότι οι χρήστες έχουν όντως την υποχρέωση να ακολουθούν τις βέλτιστες πρακτικές σε τομείς όπως η διαχείριση κωδικών πρόσβασης, όμως οι εταιρείες έχουν το καθήκον να προστατεύουν τις ευαίσθητες πληροφορίες που τους έχουν εμπιστευθεί οι πελάτες.
Δείτε επίσης: EasyPark: Η παραβίαση δεδομένων μπορεί να επηρεάζει εκατομμύρια χρήστες
“Η απόδοση του συνόλου της ευθύνης στους χρήστες είναι ένα εσφαλμένο επιχείρημα που υπεραπλουστεύει το περίπλοκο τοπίο της κυβερνοασφάλειας“, δήλωσε.
Επιπλέον, ο Nick Rago, είπε ότι το επιχείρημα της 23andMe ότι η παραβίαση δεν μπορεί να προκαλέσει οικονομική βλάβη επειδή δεν περιλάμβανε πληροφορίες όπως στοιχεία πιστωτικών καρτών, είναι εντελώς αβάσιμο. Οι πληροφορίες που έχουν κλαπεί μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις phishing και κλοπή άλλων χρήσιμων πληροφοριών.
Παραβίαση δεδομένων σε μεγάλες εταιρείες
Οι διαρροές δεδομένων μπορούν να έχουν σοβαρές συνέπειες για τις εταιρείες, αρχίζοντας από την οικονομική απώλεια. Αυτό μπορεί να περιλαμβάνει τόσο το κόστος της αντιμετώπισης της διαρροής όσο και τις πιθανές νομικές κυρώσεις.
Επίσης, η εμπιστοσύνη των πελατών μπορεί να υπονομευθεί σοβαρά. Οι πελάτες που ανησυχούν για την ασφάλεια των προσωπικών τους δεδομένων ενδέχεται να επιλέξουν να μην κάνουν συνεργασίες με μια εταιρεία που έχει παραβιαστεί.
Η φήμη της εταιρείας μπορεί επίσης να υποστεί ζημιά, κάτι που μπορεί να επηρεάσει την ικανότητά της να προσελκύσει νέους πελάτες, επενδυτές ή εταίρους.
Τέλος, μια διαρροή δεδομένων μπορεί να οδηγήσει σε νομικές επιπτώσεις. Αυτό μπορεί να περιλαμβάνει τόσο τις κυρώσεις από τους ρυθμιστικούς φορείς όσο και τις αγωγές από τους πελάτες που έχουν πληγεί από τη διαρροή, όπως στην περίπτωση της 23andMe.
Πηγή: www.infosecurity-magazine.com
