Αρχές προστασίας προσωπικών δεδομένων στον Καναδά και στο Ηνωμένο Βασίλειο ξεκίνησαν μια κοινή έρευνα για να αξιολογήσουν τις πληροφορίες πελατών που εκτέθηκαν στην περσινή παραβίαση δεδομένων της 23andMe.
Ο Επίτροπος Προστασίας Προσωπικών Δεδομένων του Καναδά και το Γραφείο του Επιτρόπου Πληροφοριών (ICO) του Ηνωμένου Βασιλείου θα δώσουν, επίσης, έμφαση στη διερεύνηση των μέτρων που είχε λάβει η εταιρεία, για να αξιολογήσουν αν ήταν επαρκή για την ασφάλεια των δεδομένων πελατών.
Τέλος, θα εξεταστεί εάν η 23andMe ειδοποίησε τα επηρεαζόμενα άτομα και τις ρυθμιστικές αρχές απορρήτου σχετικά με την παραβίαση δεδομένων, όπως απαιτείται από τους νόμους περί απορρήτου του Καναδά και του Ηνωμένου Βασιλείου.
Ο Καναδός επίτροπος εξήγησε ότι οι γενετικές πληροφορίες των ανθρώπων πρέπει να προστατεύονται αποτελεσματικά, καθώς η διαρροή τους θα μπορούσε να τους εκθέσει σε κίνδυνο και διακρίσεις. “Η διασφάλιση ότι τα προσωπικά στοιχεία προστατεύονται επαρκώς από επιθέσεις από κακόβουλους παράγοντες αποτελεί σημαντικό σημείο εστίασης για τις αρχές προστασίας της ιδιωτικής ζωής στον Καναδά και σε όλο τον κόσμο“, συνέχισε.
Δείτε επίσης: Christie’s: Ο οίκος δημοπρασιών ειδοποιεί πελάτες για παραβίαση δεδομένων
Από τη μεριά του, ο Βρετανός Επίτροπος Πληροφοριών John Edwards είπε ότι οι οργανισμοί θα πρέπει να φυλάσσουν τα στοιχεία των πελατών και οι άνθρωποι θα πρέπει να νιώθουν σίγουροι ότι οι οργανισμοί χειρίζονται τα ευαίσθητα δεδομένα με τον πιο ασφαλή τρόπο. “Αυτή η παραβίαση δεδομένων είχε διεθνή αντίκτυπο και ανυπομονούμε να συνεργαστούμε με τους Καναδούς ομολόγους μας για να διασφαλίσουμε ότι προστατεύονται τα προσωπικά στοιχεία των ανθρώπων στο Ηνωμένο Βασίλειο“.
23andMe: Παραβίαση δεδομένων και λογαριασμών μέσω credential-stuffing
Τον Ιανουάριο, ο πάροχος γενετικών δοκιμών 23andMe επιβεβαίωσε μια παραβίαση δεδομένων, αφού οι επιτιθέμενοι έκλεψαν αναφορές υγείας και δεδομένα γονότυπου πελατών, στα πλαίσια μιας credential-stuffing επίθεσης που έλαβε χώρα μεταξύ 29 Απριλίου και 27 Σεπτεμβρίου 2023.
Οι εισβολείς χρησιμοποίησαν credentials που είχαν κλαπεί από άλλες παραβιάσεις δεδομένων ή παραβίασαν διαδικτυακές πλατφόρμες για να παραβιάσουν τους λογαριασμούς 23andMe.
Μόλις εντόπισε την επίθεση στις 10 Οκτωβρίου, η 23andMe άρχισε να απαιτεί από όλους τους πελάτες να επαναφέρουν τους κωδικούς πρόσβασής τους. Επιπλέον, από τις 6 Νοεμβρίου, ενεργοποιήθηκε ο έλεγχος ταυτότητας δύο παραγόντων, από προεπιλογή, για όλους τους νέους και τους υπάρχοντες πελάτες.
Η εταιρεία έστειλε επιστολές για να ειδοποιήσει για την παραβίαση δεδομένων και ανέφερε ότι ορισμένα κλεμμένα δεδομένα δημοσιεύτηκαν στο BreachForums και στο ανεπίσημο subreddit 23andMe.
Οι πληροφορίες που διέρρευσαν περιελάμβαναν τα στοιχεία 4,1 εκατομμυρίων ανθρώπων που ζουν στο Ηνωμένο Βασίλειο και 1 εκατομμυρίου Εβραίων Ασκενάζι.
Δείτε επίσης: Η Northern Minerals αποκαλύπτει παραβίαση δεδομένων
Η 23andMe είπε στο BleepingComputer τον Δεκέμβριο ότι οι φορείς απειλών κατέβασαν δεδομένα για 6,9 εκατομμύρια από 14 εκατομμύρια πελάτες, μετά την παραβίαση περίπου 14.000 λογαριασμών χρηστών.
Η παραβίαση δεδομένων οδήγησε σε πολλαπλές αγωγές κατά της 23andMe. Προκειμένου να αντιμετωπίσει την κατάσταση, η 23andMe τροποποίησε τους Όρους Χρήσης της για να καταστήσει δυσκολότερες τις αγωγές εναντίον της εταιρείας.
Μάλιστα, λίγο αργότερα, η 23andMe κατηγόρησε τους χρήστες για την παραβίαση δεδομένων. Συγκεκριμένα, κατηγόρησε τους χρήστες, των οποίων οι λογαριασμοί παραβιάστηκαν, λόγω του ότι χρησιμοποιούσαν τους ίδιους κωδικούς σε πολλές εφαρμογές καθώς και λόγω του ότι απέτυχαν να ενημερώσουν τους κωδικούς πρόσβασής τους. Η εταιρεία δοκιμών DNA υποστήριξε ότι αυτό επέτρεψε στους εισβολείς να ξεκινήσουν μια εκστρατεία credential stuffing χρησιμοποιώντας ονόματα χρήστη και κωδικούς πρόσβασης στους οποίους είχαν πρόσβαση από άλλες παραβιάσεις.
Μια παραβίαση δεδομένων επηρεάζει σημαντικά την εμπιστοσύνη των πελατών, καθώς δημιουργεί αίσθημα ανασφάλειας και αβεβαιότητας σχετικά με την προστασία των προσωπικών τους πληροφοριών (π.χ. στην περίπτωση της 23andMe). Όταν οι πελάτες αντιλαμβάνονται ότι τα δεδομένα τους δεν είναι ασφαλή, μπορεί να χάσουν την πίστη τους στην εταιρεία και να αναζητήσουν εναλλακτικές λύσεις.
Δείτε επίσης: Οι ShinyHunters hackers πίσω από την παραβίαση δεδομένων της Santander;
Η απώλεια εμπιστοσύνης μπορεί να οδηγήσει σε μείωση της πελατειακής βάσης, καθώς οι πελάτες ενδέχεται να αποσύρουν τη συγκατάθεσή τους για τη χρήση των δεδομένων τους ή να διακόψουν τη συνεργασία τους με την εταιρεία. Αυτό μπορεί να έχει άμεσο οικονομικό αντίκτυπο και να επηρεάσει την φήμη της εταιρείας.
Η παραβίαση δεδομένων μπορεί επίσης να επηρεάσει την εμπιστοσύνη των πελατών προς την τεχνολογία γενικότερα. Οι πελάτες μπορεί να γίνουν πιο διστακτικοί να μοιραστούν προσωπικές πληροφορίες στο διαδίκτυο ή να χρησιμοποιήσουν υπηρεσίες που απαιτούν την καταχώρηση ευαίσθητων δεδομένων.
Πηγή: www.bleepingcomputer.com
