Frente a una avalancha de demandas, 23andMe niega responsabilidad por los registros genéticos de millones de usuarios filtrados el otoño pasado.
In una carta enviada a un grupo de usuarios Al demandar a la empresa obtenida por TechCrunch, los abogados que representan a la empresa de biotecnología presentaron un caso en el que los usuarios eran los culpables de cualquier información que pudiera haber sido expuesta.
Como era revelado el mes pasado, los piratas informáticos no violaron los sistemas internos de la empresa. En lugar de ello, obtuvieron acceso a unas 14,000 cuentas utilizando el relleno de credenciales y luego accedieron a datos de casi siete millones más a través de la función opcional para compartir Familiares de ADN del sitio.
El argumento plantea una pregunta importante para los tribunales, así como para la industria de la ciberseguridad en general: ¿Qué parte de la responsabilidad recae en el usuario, versus el proveedor de servicios, cuando las credenciales se saturan?
"Todo el mundo debería saber que no se debe utilizar una credencial antihigiénica", afirma Steve Moore, vicepresidente y estratega jefe de seguridad de Exabeam. "Pero al mismo tiempo, la organización que proporciona el servicio debe tener capacidades para limitar el riesgo".
El fundamento de 23andMe
El grupo de usuarios que demanda a 23andMe argumenta que la empresa violó la Ley de Derechos de Privacidad de California (CPRA), la Ley de Confidencialidad de la Información Médica de California (CMIA) y la Ley de Privacidad de la Información Genética de Illinois (GIPA), y cometió una serie de otras violaciones del derecho consuetudinario. .
En cuanto al primer punto, explicaron los abogados de la compañía, “los usuarios reciclaron negligentemente y no actualizaron sus contraseñas” luego de incidentes anteriores que afectaron sus inicios de sesión, “que no están relacionados con 23andMe. Por lo tanto, el incidente no fue el resultado del supuesto incumplimiento por parte de 23andMe de mantener medidas de seguridad razonables según la CPRA”. Una lógica similar se aplica a GIPA, aunque agregaron que “23andMe no cree que la ley de Illinois se aplique aquí”.
23andMe no necesariamente ha estado a la altura todas sus elevadas promesas de seguridad. Dicho esto, había funciones de seguridad de cuentas disponibles para los clientes que podrían haber evitado el relleno de credenciales, incluida la verificación en dos pasos con una aplicación de autenticación. Y, siguiendo las recomendaciones de la empresa descubrimiento inicial y aviso público, implementó una serie de soluciones de seguridad estándar, incluida la notificación a las autoridades, la finalización de todas las sesiones de usuarios activos y la exigencia de que todos los usuarios restablecieran sus contraseñas.
"Igualmente importante es que la información a la que potencialmente se accedió no puede utilizarse para causar ningún daño", escribieron los abogados. "La información del perfil a la que se pudo haber accedido estaba relacionada con la función DNA Relatives, que un cliente crea y elige compartir con otros usuarios en la plataforma de 23andMe", y "la información que el actor no autorizado potencialmente obtuvo sobre los demandantes no podría haberse utilizado para causar daño material (no incluía su número de seguro social, número de licencia de conducir, ni ninguna información financiera o de pago)”.
El naturaleza de los datos robados también descuenta CMIA, explica la carta, ya que "no constituía 'información médica' aunque era identificable individualmente)".
¿Quién es responsable cuando se filtran credenciales?
Las cuentas de 23andMe no son únicamente inseguras. "Cualquier organización que se pueda imaginar que tenga un portal para el cliente, lo quiera admitir o no, tiene este problema, pero no siempre a esta escala", dice Moore.
Surge así una cuestión más amplia y profunda. Se puede culpar al usuario de cualquier contraseña reutilizada, pero, sabiendo que la práctica es endémica en toda la Web¿Recae entonces parte de la responsabilidad de proteger las cuentas en el proveedor de servicios?
“Creo que la responsabilidad es compartida. Y esa no es una respuesta divertida”, admite Moore.
Por un lado, los usuarios tienen una larga lista de mejores prácticas en los que pueden confiar para que la apropiación de cuentas no sea imposible, pero al menos sí muy difícil.
Al mismo tiempo, señala Moore, las empresas deben ejercer su propio poder para proteger a sus clientes, con las numerosas herramientas que tienen a su disposición. Más allá de ofrecer (o exigir) autenticación multifactor, los sitios pueden imponer umbrales de contraseña fuertes y notificar a los usuarios cuando los inicios de sesión se producen desde lugares inusuales o con frecuencias inusuales. “Entonces, desde un punto de vista legal: ¿qué dicen sus términos de servicio y política de uso aceptable? Cuando un usuario acepta un acuerdo, ¿cuál acepta que será su higiene? él pide.
“Creo que debería haber una declaración de derechos del cliente sobre esto que diga que si estás administrando información personal confidencial, los portales de clientes deben ofrecer una forma de comprobar si hay credenciales sólidas, una forma de comprobar las infracciones conocidas y una forma de garantizar que tienes autenticación adaptativa o multifactor que no utiliza medios falibles como SMS. Entonces podemos decir: este es el requisito mínimo”, afirma.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/23andme-negligent-users-at-fault-breach-7m-records
