23andMe 承認未能偵測數月的網路攻擊
23andMe 資料泄露事件
在周末向監管機構提交的資料泄露通知信函中,23andMe 透露,駭客從 2023 年 4 月開始侵入顧客帳戶,並持續至 9 月底。換言之,長達五個月的時間裡,23andMe 並未察覺到一系列網路攻擊,其中駭客試圖並經常成功地透過強力破解進入顧客帳戶,根據 23andMe 向加州總檢察長傳送的法律要求檔案。 數月後,公司揭露駭客竊取了 690 萬使用者的族譜和基因資料,佔其使用者數的約一半。據該公司稱,23andMe 是在 10 月得知駭客在非官方的 23andMe subreddit 和一個聲名惡劣的駭客論壇上刊登的帖子中宣傳所盜資料時意識到了此次事件。而根據 TechCrunch 報導,23andMe 當時也並未注意到駭客在數月前的 8 月就曾在另一個駭客論壇上宣傳所盜資料。 23andMe 後來承認,駭客透過強力破解進入已公開的帳戶(配有其他泄露郵件位址的密碼)並偷取了 690 萬使用者的資料。駭客利用了 DNA 親屬特性,自動與被 23andMe 歸類為親屬的其他人共享部分資料,並成功進入了約 14,000 名使用者的帳戶。被盜資料包括個人姓名、出生年份、關係標籤、與親屬共享的 DNA 百分比、族譜報告和自報位置。事件後續
23andMe 發言人未立即回應 TechCrunch 的置詢,其中包括有關此次事件為何長時間未被發現的問題。在通知顧客他們是事件受害者後,一些受害者已在美國和加拿大對 23andMe 提起了集體訴訟,盡管該公司試圖透過更改其服務條款,使受害者更難結成法律行動聯盟。資料泄露律師們稱這些服務條款變更為「愚蠢的」、「自私的」和「公司為自保而做出的拙劣嘗試」。在其中一份訴訟中,23andMe 回答稱使用者應該對他們所使用的重複密碼負責。「在以前的安全事件之後,使用者疏忽地重複使用並未及時更新他們的密碼,這與 23andMe 無關,」23andMe 在寫給泄露受害者的信中聲稱。專家意見
該事件引發了專家們對於企業資料安全以及個人資料隱私的關注。資料安全專家們指出,企業在保護使用者資料方面存在著嚴重的缺陷。不僅如此,23andMe 試圖歸罪於使用者的舉動,似乎掩蓋了自身在保護資料上的不足之處。資料安全和個人隱私的重要性
就此次事件而言,值得一提的是企業的資料安全和個人隱私應該被視為至高無上的重要事項。在當今數位化時代,個人資料隱私已成為了一個不可忽視的問題。而作為一家從事基因檢測業務的公司,23andMe 應該更加重視使用者資料的安全和隱私保護,進行投入更多的資源和技術來防止類似事件發生。同時 23andMe 不應將責任推卸給使用者,而應該積極面對自身的不足,尋求改進。結論
此事件對於 23andMe 而言無疑是一次嚴重的資料泄露事件,也是對使用者隱私保護的一次重大挑戰。務必呼籲所有企業和相關機構應當重視使用者資料的安全和隱私保護,不僅僅是為了遵守相關監管要求,更是為了尊重使用者權益,建立信任和良好形象。希望 23andMe 這次事件之後,能夠從中吸取教訓,加固資料安全措施,更加負責任地對待使用者資料和隱私問題。Cybersecurity-23andMe,網路攻擊,安全漏洞,資料隱私,基因檢測
