O fornecedor de testes genéticos 23andMe enfrenta vários processos judiciais coletivos nos EUA após uma violação de dados em grande escala que se acredita ter impactado milhões de seus clientes.
No final do mês passado, um criador de ameaças vazou dados de clientes da 23andMe em um arquivo CSV chamado 'Ashkenazi DNA Data of Celebrities.csv' em fóruns de hackers.
O arquivo supostamente continha dados de quase 1 milhão de judeus Ashkenazi que usaram os serviços 23andMe para encontrar informações sobre seus ancestrais, predisposições genéticas e muito mais.
Vazamento inicial de dados 23andMe em um fórum de hackersFonte: BleepingComputer
Os dados no arquivo CSV continham informações sobre IDs de contas dos usuários do 23andMe, nomes completos, sexo, data de nascimento, perfis de DNA, localização e detalhes da região.
Na semana passada, o hacker original decidiu retirar a postagem e, em vez disso, começou a vender perfis de dados roubados do 23andMe. No entanto, outros atores de ameaças continuaram a compartilhar o vazamento original do 23andMe em comunidades e fóruns de crimes cibernéticos.
Em resposta a uma investigação, 23andMe disse ao BleepingComputer que os hackers acessaram sua plataforma por meio de ataques de preenchimento de credenciais em contas com segurança fraca. No entanto, eles refutaram as alegações de uma violação direta de segurança dos seus sistemas.
Um porta-voz da 23andMe explicou que os invasores inicialmente obtiveram acesso não autorizado a um pequeno número de contas, mas eventualmente exfiltraram os dados de um número maior, ainda que indefinido, de clientes devido à ativação de um recurso opcional chamado ‘DNA Relatives’, que conecta parentes genéticos.
Após a publicação do nosso relatório, a 23andMe publicou um anúncio em seu site prometendo informar os clientes afetados individualmente e mantê-los atualizados sobre os resultados da investigação em andamento realizada com a ajuda de especialistas terceirizados e autoridades policiais.
Inúmeras ações judiciais movidas
Embora os membros da plataforma tenham ativado voluntariamente o recurso opt-in, nem todos aceitam que o risco envolvido de compartilhamento interno de dados deva isentar a empresa de sua responsabilidade de colocar camadas de proteção.
Nesse caso, muitas pessoas que seguiram práticas de segurança adequadas, habilitando 2FA em suas contas e usando uma senha forte e exclusiva, ainda assim ficaram expostas e seus dados confidenciais vazaram em fóruns de crimes cibernéticos.
Pelo menos quatro reclamações de ação coletiva foram apresentadas na Califórnia (Santana, Eden, Andrizzi, Lamons) buscando reparação pelos danos causados pela falha da 23andMe em proteger seus dados.
As ações judiciais destacam a falta de informações no anúncio oficial da empresa sobre o evento de segurança, o status atual da segurança dos dados do cliente, a duração da violação da rede e o mecanismo exato do ataque cibernético.
Além disso, eles criticam a 23andMe por não ter implementado medidas de segurança adequadas que ajudariam a monitorar sua rede em busca de atividades anormais e potencialmente tomar medidas para impedir a intrusão muito mais cedo.
As ações judiciais sublinham que a 23andMe, uma empresa que gere dados médicos sensíveis, deveria estar bem ciente das elevadas ameaças à segurança cibernética, dadas as inúmeras violações de alto perfil na indústria, sublinhando o elevado valor de tais dados.
"Em todos os momentos relevantes, o Réu tinha o dever para com os Requerentes e Membros da Classe de proteger adequadamente suas IPI, criptografar e manter tais informações usando métodos padrão do setor, treinar seus funcionários, utilizar a tecnologia disponível para defender seus sistemas contra invasões, agir razoavelmente para evitar danos previsíveis aos Requerentes e Membros da Classe, e notificar imediatamente os Requerentes e Membros da Classe quando o Réu tomar conhecimento de que suas IPI podem ter sido comprometidas." - Reclamação Santana v.
Os demandantes pedem vários benefícios financeiros contra a 23andMe, incluindo restituição, monitoramento de crédito vitalício, danos e penalidades reais, compensatórios e legais, danos punitivos e cobertura de honorários advocatícios.
Uma das reclamações define os danos nominais em US$ 1.000 e os danos punitivos em US$ 3.000 por membro da ação coletiva, além de vários outros pedidos de reparação.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #23andme #é #processada #após #hacker #vazar #dados #genéticos #roubados
Postar um comentário