كاليفورنيا تقاضي 23andMe بسبب خرق بيانات 2023 الذي أثر في 7 ملايين مستخدم

كاليفورنيا تتحرك ضد شركة بيانات جينية

رفع المدعي العام في كاليفورنيا روب بونتا دعوى قضائية على الشركة المعروفة سابقًا باسم 23andMe، والتي أصبحت الآن Chrome Holding Co.، بسبب خرق 2023 الذي كشف معلومات حساسة تخص 7 ملايين مستخدم. ووفقًا للنص المصدر، كان 855,541 من المستخدمين المتضررين من سكان كاليفورنيا.

تستهدف الدعوى كلًا من ممارسات الأمن وطريقة تواصل الشركة مع العملاء. ويتهم بونتا الشركة بعدم حماية المعلومات الشخصية والجينية شديدة الحساسية، بما في ذلك البيانات الجينية المرتبطة بالصحة، وتفاصيل الأنساب والأصول العرقية، والمعلومات المرتبطة بالأقارب البيولوجيين.

قضية الولاية

كانت 23andMe قد قالت سابقًا إن جهات خبيثة حصلت على الوصول عبر credential stuffing، باستخدام بيانات تسجيل دخول مسروقة من خروقات سابقة. لكن شكوى كاليفورنيا، كما لخّصها المقال، تجادل بأن شركة تتعامل مع بيانات جينية كان ينبغي أن تتوقع أسلوب الهجوم هذا وأن تدافع ضده.

ويمضي بونتا في حجته إلى أبعد من ذلك. فهو يقول إن 23andMe كانت تعلم بوجود خرق لدى MyHeritage، وهي منصة أنساب أخرى كانت تتعامل معها، لكنها لم تمنع إعادة استخدام بيانات الاعتماد أو تتحقق منها بشكل كافٍ. ويقول المقال أيضًا إن 23andMe كانت قد شجعت المستخدمين على التسجيل في حسابات MyHeritage، ما جعل التداخل أكثر أهمية.

كيف اتسع نطاق الخرق

لا تركز الدعوى فقط على الاستيلاء الأولي على الحسابات. ووفقًا للنص المصدر، تمكّن المهاجمون أولًا من الوصول إلى نحو 14 ألف حساب عبر credential stuffing، ثم استخدموا ثغرة في ميزة DNA Relatives للوصول إلى بيانات ملايين العملاء الآخرين.

يقول بونتا إن ضوابط الأمان في الشركة كانت ضعيفة إلى درجة أن المهاجمين عملوا دون اكتشاف لمدة خمسة أشهر. ويقول أيضًا إن الشركة لم تبدأ التحقيق إلا بعد أن ظهرت بالفعل بيانات مسروقة للمستخدمين للبيع على الويب المظلم وبعد ظهور مطالبات بفدية.

الإفصاح والضرر

نقطة رئيسية أخرى في الدعوى هي أن 23andMe قللت، بحسب الادعاء، من شأن الخرق عند إبلاغ العملاء. ويجادل بونتا بأن الشركة حذفت معلومات حاسمة وادعت أن ميزة DNA Relatives كانت، في الأساس، عامة، حتى بينما كانت تفاوض المهاجمين بشكل خاص.

ويضيف النص المصدر بعدًا بالغ الخطورة: إذ أفادت التقارير بأن مجموعة البيانات المعروضة للبيع أبرزت معلومات تخص مستخدمين من أصل آسيوي أمريكي وسكان جزر المحيط الهادئ، وكذلك مستخدمين يهودًا. وفي رواية الولاية، زاد هذا السياق من خطر سوء الاستخدام الموجه إلى ما هو أبعد من مجرد انتهاك الخصوصية المعتاد.

لماذا تهم هذه القضية

هذه ليست مجرد دعوى أخرى تتعلق بخرق ضد شركة تقنية موجهة للمستهلك. فهي تتعلق ببيانات جينية، وهي من درجة مختلفة من الحساسية لأنها يمكن أن تكشف الاستعدادات الصحية والصلات العائلية وسمات الأصول العرقية التي لا يستطيع المستخدمون ببساطة إعادة ضبطها مثل كلمة المرور. لذلك تختبر قضية كاليفورنيا إلى أي مدى ترتفع توقعات حماية البيانات عندما تكون المعلومات الأساسية حميمة بيولوجيًا وربما دائمة.

وبالنسبة إلى القطاع الأوسع، فالدعوى أيضًا تحذير من أساليب هجوم مألوفة. credential stuffing ليس أمرًا جديدًا، ويبدو أن موقف الولاية هو أن أنماط الهجوم الشائعة لا تبرر ضعف الدفاعات، خصوصًا عندما تُؤتمن الشركات على سجلات شديدة الحساسية.

قد تشكل القضية توقعات جديدة بشأن كل من معمارية الأمان والإفصاح عن الخروقات في الجينوميات الاستهلاكية. وعلى الأقل، فهي تظهر أن الجهات التنظيمية مستعدة للتعامل مع إخفاقات بيانات الجينات على أنها أكثر من مجرد حوادث سيبرانية عادية.

هذه المقالة تستند إلى تقرير من Engadget. اقرأ المقال الأصلي.