23andMes brud på sundhedsdata møder fornyet granskning, efter at Californiens justitsminister Rob Bonta har anlagt sag mod gentestvirksomheden for dens håndtering af cyberangrebet i 2023. Delstatsmyndigheder hævder, at virksomheden ikke implementerede rimelige sikkerhedsforanstaltninger, selv om den opbevarede meget følsomme genetiske og personlige oplysninger.
Søgsmålet lægger yderligere juridisk pres på en virksomhed, som allerede håndterer retssager, regulatorisk granskning og voksende bekymringer om forbrugernes privatliv i gentestindustrien.
Californiens justitsminister anklager virksomheden for svage sikkerhedsforanstaltninger
Californiens justitsminister mener, at 23andMe ikke beskyttede kundekonti tilstrækkeligt, før bruddet fandt sted. Ifølge klagen undlod virksomheden at kræve multifaktorautentificering, selv om legitimationsbaserede angreb var blevet stadig mere almindelige på onlineplatforme.
Embedsmænd hævder, at angribere kunne udnytte genbrugte brugernavne og adgangskoder fra tidligere, ikke-relaterede databrud for at få adgang til kundekonti. Søgsmålet argumenterer for, at stærkere autentificeringsbeskyttelse kunne have reduceret hændelsens omfang.
Delstaten hævder også, at 23andMe fortsatte med at indsamle og opbevare følsomme kundeoplysninger uden at implementere stærkere sikkerhedsforanstaltninger, som forventes ved håndtering af sundheds- og genetiske data.
Angrebet eksponerede millioner af kundeprofiler
Bruddet i 2023 påvirkede omkring 6,9 millioner brugere gennem en credential stuffing-kampagne. Angribere fik angiveligt først adgang til et mindre antal konti direkte, før de udvidede deres rækkevidde gennem virksomhedens DNA Relatives-funktion.
Forskere oplyste, at angriberne kunne indsamle oplysninger knyttet til andre brugere gennem platformens slægtskabs- og delingsfunktioner. Dette øgede antallet af berørte profiler markant.
Eksponerede data omfattede angiveligt navne, profilbilleder, afstamningsrapporter, fødselsår, geografiske placeringer, familieforbindelser og andre kontooplysninger knyttet til genetiske profiler.
Databruddet blev hurtigt en af de mest omtalte privatlivshændelser, som involverede genetiske forbrugerdata.
Genetiske data skaber langsigtede privatlivsproblemer
Privatlivseksperter advarer om, at genetisk information skaber unikke sikkerheds- og etiske udfordringer, fordi den ikke kan ændres efter eksponering. I modsætning til adgangskoder eller betalingskort forbliver biologiske data permanent knyttet til en person.
Myndigheder i Californien mener, at virksomheder, som håndterer genetiske og sundhedsrelaterede oplysninger, bør følge strengere sikkerhedsstandarder på grund af datatypens følsomhed.
Søgsmålet hævder, at forbrugerne betroede 23andMe meget personlige oplysninger, som kunne afsløre afstamning, familierelationer og potentielle sundhedsrelaterede indsigter. Regulatorer stiller nu spørgsmål ved, om virksomheden tog tilstrækkelige skridt til at beskytte oplysningerne før angrebet fandt sted.
23andMe møder voksende juridisk pres
Virksomheden har mødt flere søgsmål og undersøgelser, siden databruddet blev offentligt kendt. Regulatorer og privatlivsforkæmpere fortsætter med at undersøge, om 23andMe reagerede hurtigt nok for at forbedre kontobeskyttelsen, efter at advarselstegn begyndte at dukke op i branchen.
Efter hændelsen indførte virksomheden obligatorisk multifaktorautentificering og yderligere sikkerhedsforanstaltninger for at forhindre fremtidige angreb baseret på misbrug af legitimationsoplysninger.
Kritikere mener dog, at disse beskyttelser burde have været implementeret, før millioner af poster blev eksponeret.
Sagen kan få betydning for, hvordan regulatorer fremover håndterer cybersikkerhedskrav til virksomheder, der administrerer genetiske og sundhedsrelaterede oplysninger.
Konklusion
23andMes brud på sundhedsdata fortsætter med at skabe juridiske og privatlivsrelaterede bekymringer næsten tre år efter cyberangrebet, som eksponerede millioner af kundeposter. Californiens søgsmål hævder, at virksomheden ikke implementerede stærkere kontobeskyttelse, selv om den håndterede meget følsomme genetiske data. Efterhånden som den juridiske kamp fortsætter, kan sagen forme fremtidige forventninger til, hvordan organisationer beskytter personlige sundheds- og afstamningsoplysninger.
0 svar til “23andMes brud på sundhedsdata udløser søgsmål fra Californiens justitsminister”