২০২৩ সালের ডেটা ব্রিচ নিয়ে ২৩andMe-এর বিরুদ্ধে ক্যালিফোর্নিয়ার মামলা

জেনেটিক ডেটা কোম্পানির বিরুদ্ধে ক্যালিফোর্নিয়ার পদক্ষেপ

২৩andMe নামে পরিচিত এবং বর্তমানে Chrome Holding Co. নামের কোম্পানির বিরুদ্ধে ক্যালিফোর্নিয়ার অ্যাটর্নি জেনারেল রোব বোন্টা ২০২৩ সালের ওই ব্রিচের জন্য মামলা করেছেন, যেখানে ৭০ লক্ষ ব্যবহারকারীর সংবেদনশীল তথ্য ফাঁস হয়েছিল। উৎস পাঠ্য অনুযায়ী, ক্ষতিগ্রস্তদের মধ্যে ৮,৫৫,৫৪১ জন ক্যালিফোর্নিয়ার বাসিন্দা ছিলেন।

মামলাটি নিরাপত্তা অনুশীলন এবং গ্রাহক যোগাযোগ, উভয়কেই লক্ষ্য করছে। বোন্টার অভিযোগ, স্বাস্থ্য-সম্পর্কিত জেনেটিক ডেটা, বংশপরিচয় ও জাতিগত তথ্য, এবং জৈবিক আত্মীয়দের সঙ্গে যুক্ত তথ্যসহ অত্যন্ত সংবেদনশীল ব্যক্তিগত ও জেনেটিক তথ্য সুরক্ষিত রাখতে কোম্পানি ব্যর্থ হয়েছে।

রাজ্যের মামলা

২৩andMe আগে বলেছিল, পূর্বের ব্রিচ থেকে চুরি করা লগইন তথ্য ব্যবহার করে দুর্বৃত্তরা credential stuffing-এর মাধ্যমে প্রবেশ করেছিল। কিন্তু নিবন্ধে সংক্ষেপিত ক্যালিফোর্নিয়ার অভিযোগে বলা হয়েছে, জেনেটিক ডেটা সামলানো একটি কোম্পানির এই আক্রমণ-পদ্ধতি আগে থেকেই অনুমান করে তার বিরুদ্ধে প্রতিরক্ষা গড়ে তোলা উচিত ছিল।

বোন্টার যুক্তি আরও দূর পর্যন্ত যায়। তিনি বলেন, MyHeritage-এ আরেকটি ব্রিচের কথা ২৩andMe জানত, যা একটি বংশানুক্রমিক প্ল্যাটফর্ম এবং যার সঙ্গে তারা কাজ করত, কিন্তু credential reuse ঠেকাতে বা তা যথাযথভাবে পরীক্ষা করতে ব্যর্থ হয়েছিল। নিবন্ধে আরও বলা হয়েছে, ২৩andMe ব্যবহারকারীদের MyHeritage অ্যাকাউন্টে সাইন আপ করতে উৎসাহিত করেছিল, ফলে এই ওভারল্যাপ আরও গুরুত্বপূর্ণ হয়ে ওঠে।

ব্রিচ কীভাবে বেড়েছিল

মামলাটি কেবল প্রাথমিক অ্যাকাউন্ট দখল নিয়ে নয়। উৎস অনুযায়ী, আক্রমণকারীরা প্রথমে credential stuffing-এর মাধ্যমে প্রায় ১৪,০০০ অ্যাকাউন্টে প্রবেশ করে, তারপর DNA Relatives ফিচারের একটি দুর্বলতা কাজে লাগিয়ে আরও লক্ষ লক্ষ গ্রাহকের ডেটা পায়।

বোন্টা বলেন, কোম্পানির নিরাপত্তা নিয়ন্ত্রণ এতটাই দুর্বল ছিল যে আক্রমণকারীরা পাঁচ মাস ধরে ধরা না পড়েই কাজ করেছে। তিনি আরও বলেন, চুরি হওয়া ব্যবহারকারীর ডেটা ইতিমধ্যে dark web-এ বিক্রির জন্য দেখা যাওয়ার পর এবং ransom demands উঠে আসার পরই কোম্পানি তদন্ত শুরু করে।

প্রকাশ ও ক্ষতি

আরেকটি বড় অভিযোগ হলো, ২৩andMe গ্রাহকদের ব্রিচ জানাতে গিয়ে ঘটনাটিকে খাটো করে দেখিয়েছিল। বোন্টা যুক্তি দেন, কোম্পানি গুরুত্বপূর্ণ তথ্য গোপন করেছিল এবং DNA Relatives ফিচারকে কার্যত পাবলিক বলে দাবি করেছিল, অথচ তারা একই সময়ে আক্রমণকারীদের সঙ্গে ব্যক্তিগতভাবে আলোচনা করছিল।

উৎস পাঠ্য আরও একটি গুরুতর দিক যোগ করে: বিক্রির জন্য তোলা ডেটাসেটে Asian American ও Pacific Islander ব্যবহারকারী এবং Jewish ব্যবহারকারীদের সম্পর্কিত তথ্য নাকি হাইলাইট করা হয়েছিল। রাজ্যের বর্ণনায়, এই প্রেক্ষাপট সাধারণ গোপনীয়তা-ঝুঁকির বাইরে লক্ষ্যভিত্তিক অপব্যবহারের আশঙ্কা বাড়িয়ে দেয়।

এই মামলা কেন গুরুত্বপূর্ণ

এটি শুধু আরেকটি ভোক্তা প্রযুক্তি কোম্পানির বিরুদ্ধে ব্রিচ মামলা নয়। এখানে জেনেটিক ডেটা জড়িত, যা স্বাস্থ্যের প্রবণতা, পারিবারিক সম্পর্ক ও বংশগত বৈশিষ্ট্য প্রকাশ করতে পারে এবং ব্যবহারকারীরা তা পাসওয়ার্ডের মতো সহজে রিসেট করতে পারেন না। ফলে, অন্তর্নিহিত তথ্য যখন জৈবিকভাবে ঘনিষ্ঠ এবং দীর্ঘস্থায়ী, তখন ডেটা-সুরক্ষার প্রত্যাশা কতটা বাড়ে, এই ক্যালিফোর্নিয়া মামলা তা পরীক্ষা করছে।

বিস্তৃত শিল্পের জন্যও এই মামলা পরিচিত আক্রমণ-পদ্ধতি সম্পর্কে সতর্কবার্তা। Credential stuffing নতুন কিছু নয়, এবং রাজ্যের অবস্থান মনে হচ্ছে, সাধারণ আক্রমণ-প্যাটার্ন দুর্বল প্রতিরক্ষার অজুহাত হতে পারে না, বিশেষ করে যখন কোম্পানিকে অত্যন্ত সংবেদনশীল রেকর্ডের দায়িত্ব দেওয়া হয়।

এই মামলা ভোক্তা জিনোমিক্সে নিরাপত্তা স্থাপত্য এবং ব্রিচ প্রকাশের প্রত্যাশা গঠন করতে পারে। অন্তত, এটি দেখায় যে নিয়ন্ত্রকরা জেনেটিক-ডেটা ব্যর্থতাকে সাধারণ সাইবার ঘটনার চেয়ে বেশি গুরুত্ব দিতে প্রস্তুত।

এই নিবন্ধটি Engadget-এর প্রতিবেদনের ভিত্তিতে লেখা। মূল নিবন্ধটি পড়ুন.