Per didelį duomenų pažeidimą įsilaužėliams pavyko gauti beveik 7 milijonų vartotojų asmeninę informaciją iš žinomos genetinių tyrimų bendrovės 23andMe. Pažeidimas, keliantis rimtą susirūpinimą dėl duomenų saugumo ir vartotojų privatumo, sukėlė ginčų ne tik dėl paties įsilaužimo, bet ir dėl bendrovės atsako, kurį kritikai pavadino „labai kvailu“.
Įsilaužimo atradimas ir apimtis
Įsilaužimas paaiškėjo, kai vienas vartotojas, naršydamas 23andMe subreddit, atrado, kad duomenys, tariamai priklausantys milijonams vartotojų, buvo parduoti tamsiuose interneto forumuose. Atlikus tolesnį tyrimą, paaiškėjo, kad įsilaužėliai bandė pasiekti vartotojų paskyras mažiausiai nuo 2023 m. balandžio mėn., o kai kurie sėkmingi pažeidimai tęsėsi iki tų pačių metų rugsėjo mėn.
Pranešama, kad pažeisti duomenys apima neskelbtiną informaciją, pvz., vardus, adresus, genetinį paveldą, sveikatos polinkio ataskaitas ir pranešimus apie nešiotojų būklę. Stulbina tai, kad pažeidimas taip pat atskleidė duomenis iš iki 5,5 milijono vartotojų, kurie pasirinko funkciją, leidžiančią susisiekti su genetiniais giminaičiais.
23andMe komentaras po įsilaužimo
Nors pats pažeidimas kelia nerimą, toliau buvo tiriama „23andMe“ reakcija į incidentą. Bendrovė, užuot prisiėmusi atsakomybę už pažeidimą, nusprendė kaltinti savo vartotojus dėl tariamo aplaidumo atnaujinant slaptažodžius. Barbara Prainsack, Vienos universiteto profesorė, besispecializuojanti lyginamosios politikos srityje, šį žingsnį plačiai kritikavo kaip „labai kvailą“.
Prainsack pabrėžė, kad kaltės perkėlimas vartotojams dėl to, ką ji apibūdino kaip santykinai nedidelius saugumo pažeidimus, yra moraliai ir politiškai klaidinga. Ji pabrėžė, kad „23andMe“ yra atsakinga už savo vartotojų duomenų apsaugą ir turėjo įgyvendinti patikimas saugumo priemones, kad užkirstų kelią tokiems pažeidimams.
Bendrovės atsakymas taip pat paskatino teisinius veiksmus, kai keli vartotojai pateikė individualius ir kolektyvinius ieškinius prieš 23andMe. Ieškiniuose bendrovė kaltinama aplaidumu, privatumo pažeidimu ir adekvačių saugumo priemonių neįgyvendinimu vartotojų duomenims apsaugoti.
Tolesni įmonės veiksmai
Po pažeidimo „23andMe“ ėmėsi tam tikrų priemonių, kad padidintų saugumą, įskaitant numatytąjį dviejų veiksnių autentifikavimą visiems vartotojams ir įpareigojimą iš naujo nustatyti slaptažodį. Tačiau kritikai išlieka skeptiški, abejodami bendrovės įsipareigojimu apsaugoti vartotojų duomenis ateityje.
Tikėtina, kad pažeidimo pasekmės turės didelių pasekmių ne tik 23andMe, bet ir platesnei genetinių tyrimų pramonei. Jame pabrėžiama, kad įmonės, tvarkančios neskelbtinus asmens duomenis, skubiai turi teikti pirmenybę saugumui ir vartotojų privatumui, kad būtų išvengta panašių pažeidimų ateityje.
Pasekmės
Naudotojams vis labiau atsargiai dalinantis savo asmeniniais duomenimis internete, įmonės turi parodyti savo įsipareigojimą apsaugoti vartotojų privatumą ir atkurti pasitikėjimą savo platformomis. Jei to nepadarysite, tai gali turėti rimtų pasekmių tiek pačioms įmonėms, tiek asmenims, kurių duomenys yra pavojuje.
Be tiesioginių pasekmių ir patobulintų saugos priemonių poreikio, labai svarbu atsižvelgti į platesnes duomenų pažeidimų, tokių kaip 23andMe, pasekmes.
Situacijos apžvalga
Pirma, tokie incidentai griauna pasitikėjimą ne tik paveikta įmone, bet ir platesne skaitmenine ekosistema. Kai vartotojai jaučia, kad jų duomenys nėra saugūs, jie gali nedrąsiai naudotis internetinėmis paslaugomis ar dalytis asmenine informacija. O tai trukdo inovacijoms ir ekonomikos augimui skaitmeninėje erdvėje.
Be to, 23andMe pažeidimas pabrėžia didėjančią kibernetinių atakų, nukreiptų į jautrius sveikatos ir genetinius duomenis, grėsmę. Genetinė informacija yra ypač jautri, nes ji gali atskleisti polinkį sirgti tam tikromis ligomis ir būkle. Taip pat informaciją apie individo kilmę ir šeiminius ryšius. Netinkamas tokių duomenų naudojimas gali turėti didelių pasekmių asmenų sveikatai, privatumui ir net draudimo bei įsidarbinimo perspektyvoms.
Todėl, be kibernetinio saugumo priemonių stiprinimo, skubiai reikia išsamių duomenų apsaugos taisyklių ir etinių gairių. Reglamentuojančių genetinių duomenų rinkimą, saugojimą ir naudojimą. Tokiose taisyklėse pirmenybė turėtų būti teikiama naudotojo sutikimui, skaidrumui ir atskaitomybei. Kartu derinant genetinių tyrimų ir individualizuotos sveikatos priežiūros naudą su asmens privatumo teisių apsauga.
Galiausiai 23andMe pažeidimas yra ryškus priminimas apie patikimos duomenų saugumo praktikos, aktyvaus rizikos valdymo ir reguliavimo priežiūros svarbą vis labiau duomenimis pagrįstame pasaulyje. Jame pabrėžiama, kad visos suinteresuotosios šalys – įmonės, reguliavimo institucijos, tyrėjai ir vartotojai – turi dirbti kartu, kad būtų užtikrintas atsakingas ir etiškas asmens duomenų tvarkymas, ypač kai kalbama apie jautrią genetinę informaciją.