Nội dung bài viết
LOS ANGELES – Tổng chưởng lý của California đã kiện công ty xét nghiệm di truyền trước đây gọi là 23andMe hôm thứ Năm, cáo buộc công ty này không bảo vệ được dữ liệu nhạy cảm của người dùng trong một vụ vi phạm năm 2023 ảnh hưởng đến gần 7 triệu người trên khắp đất nước.
Bộ trưởng Tư pháp Rob Bonta đã đệ đơn kiện Chrome Holding Co., công ty được 23andMe đổi tên sau khi nộp đơn xin phá sản vào tháng 3 năm ngoái.
23andMe được biết đến với bộ dụng cụ xét nghiệm DNA trực tiếp cho người tiêu dùng, cung cấp cho khách hàng thông tin về tổ tiên và khuynh hướng di truyền đối với một số tình trạng sức khỏe nhất định.
XEM THÊM: Công ty xét nghiệm di truyền 23andMe nộp đơn xin phá sản Vụ kiện kêu gọi nhiều hình phạt dân sự khác nhau đối với 23andMe và các lệnh cấm ngăn công ty tiếp tục vi phạm luật bảo vệ quyền riêng tư của California.
Công ty đã thừa nhận rằng họ đã gặp phải một vụ vi phạm an ninh nghiêm trọng vào năm 2023 khiến khoảng 14.000 tài khoản bị truy cập, qua đó họ có thể đánh cắp dữ liệu của gần 7 triệu khách hàng.
Cuộc tấn công mạng đã sử dụng tính năng "nhồi thông tin xác thực", lợi dụng xu hướng sử dụng mật khẩu yếu hoặc phổ biến của khách hàng hoặc sử dụng lại mật khẩu giữa nhiều tài khoản.
XEM THÊM: 23andMe phá sản: Cách xóa dữ liệu của bạn a, Tiêu hủy mẫu gen của bạn Văn phòng Bonta cho biết đây là một cuộc tấn công nổi tiếng mà các doanh nghiệp nên biết để đề phòng.
Những kẻ tấn công đã sử dụng thông tin xác thực tài khoản người dùng bị đánh cắp, bao gồm cả thông tin xác thực từ vụ vi phạm dữ liệu lớn vào tháng 10 năm 2017 đã ảnh hưởng đến MyHeritage, một trong những đối tác cũ của 23andMe.
Sau vi phạm đó, 23andMe đã không áp dụng các giao thức chung như yêu cầu khách hàng đặt lại mật khẩu hoặc sử dụng xác thực đa yếu tố. 23andMe đã không trả lời ngay lập tức yêu cầu bình luận được gửi qua email.
Các công tố viên cho biết trong đơn khiếu nại: “Các biện pháp bảo mật của 23andMe lỏng lẻo đến mức kẻ đe dọa có thể hoạt động mà không bị phát hiện trong hệ thống của 23andMe trong hơn 5 tháng, và đáng chú ý là 23andMe chỉ bắt đầu điều tra sau khi kẻ đe dọa rao bán dữ liệu người dùng bị đánh cắp trên web đen và liên hệ với 23andMe để yêu cầu tiền chuộc”.
Vào tháng 10 năm 2023, dữ liệu bị đánh cắp đã được rao bán trên web đen, với người đăng đặc biệt quảng cáo rằng khoảng 1,1 triệu dữ liệu của người tiêu dùng thuộc về người dùng Đảo Châu Á-Thái Bình Dương và người Do Thái Ashkenazi.
"Việc bán dữ liệu này trên web đen diễn ra trong bối cảnh làn sóng bài Do Thái và người Mỹ gốc Á ngày càng gia tăng. Bonta nói trong một thông cáo báo chí.
"Điều này thật đáng lo ngại và cực kỳ nguy hiểm". Một số dữ liệu bị đánh cắp bao gồm dữ liệu di truyền thô, báo cáo sức khỏe, DNA được chia sẻ với những người thân khác, địa điểm và năm sinh của người thân.
Vụ kiện nói rằng sau khi thông báo cho công chúng về hành vi vi phạm, 23andMe tiếp tục đánh lừa người tiêu dùng về mức độ nghiêm trọng của vi phạm và vai trò của công ty trong đó.
Công ty cho biết họ chỉ phát hiện ra vi phạm vào tháng 10 năm 2023 khi dữ liệu bị đánh cắp được đăng để bán trên web đen.
Tuy nhiên, vụ kiện cho biết công ty đã không điều tra chính xác các dấu hiệu nguy hiểm xuất hiện nhiều tháng trước đó, chẳng hạn như "sự gia tăng đáng ngờ trong số lần đăng nhập của người dùng" vào tháng 7 và một bài đăng trên Reddit thảo luận về khả năng vi phạm và bán dữ liệu người dùng vào tháng 8.
Dữ liệu di truyền yêu cầu "một trong những mức độ bảo vệ cao nhất" và luật California "bắt buộc phải có nghĩa vụ pháp lý cao hơn" để bảo vệ dữ liệu đó, vụ kiện cho biết.
bị xử lý sai trong vụ phá sản và bán tài sản theo Chương 11 của 23andMe, cho rằng California Đạo luật bảo mật thông tin di truyền của Hoa Kỳ yêu cầu các công ty phải có được sự đồng ý từ khách hàng trước khi bán thông tin di truyền của họ cho bên thứ ba.
Tuy nhiên, việc mua bán vẫn được phép tiếp tục.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.