कैलिफ़ोर्निया ने 2023 के डेटा उल्लंघन को लेकर 23andMe पर मुकदमा दायर किया, जिससे 70 लाख उपयोगकर्ता प्रभावित हुए

कैलिफ़ोर्निया एक आनुवंशिक डेटा कंपनी के खिलाफ कार्रवाई कर रहा है

कैलिफ़ोर्निया के अटॉर्नी जनरल रॉब बॉन्टा ने 23andMe के रूप में पहले जानी जाने वाली, अब Chrome Holding Co. नामक कंपनी पर 2023 के उस डेटा उल्लंघन को लेकर मुकदमा दायर किया है, जिसमें 70 लाख उपयोगकर्ताओं की संवेदनशील जानकारी उजागर हुई थी। स्रोत पाठ के अनुसार, प्रभावित उपयोगकर्ताओं में से 855,541 कैलिफ़ोर्निया निवासी थे।

यह मुकदमा सुरक्षा प्रथाओं और ग्राहकों के साथ संवाद, दोनों को निशाना बनाता है। बॉन्टा का आरोप है कि कंपनी स्वास्थ्य-संबंधी आनुवंशिक डेटा, वंशावली और जातीयता से जुड़ी जानकारी, तथा जैविक रिश्तेदारों से संबंधित जानकारी सहित अत्यंत संवेदनशील व्यक्तिगत और आनुवंशिक जानकारी की रक्षा करने में विफल रही।

राज्य का मामला

23andMe ने पहले कहा था कि दुर्भावनापूर्ण लोगों ने credential stuffing के जरिए, यानी पहले के उल्लंघनों से चुराए गए लॉगिन विवरणों का उपयोग करके, पहुँच हासिल की। लेकिन कैलिफ़ोर्निया की शिकायत, जैसा कि लेख में संक्षेपित है, तर्क देती है कि आनुवंशिक डेटा संभालने वाली किसी कंपनी को इस हमले की विधि का अनुमान होना चाहिए था और उसके खिलाफ बचाव करना चाहिए था।

बॉन्टा का तर्क इससे आगे जाता है। उनका कहना है कि 23andMe को MyHeritage, एक अन्य वंशावली मंच, पर हुए उल्लंघन की जानकारी थी, जिसके साथ वह काम करती थी, लेकिन उसने credential reuse को रोकने या उसकी पर्याप्त जाँच करने के लिए कदम नहीं उठाए। लेख यह भी कहता है कि 23andMe ने उपयोगकर्ताओं को MyHeritage खातों के लिए साइन अप करने के लिए प्रोत्साहित किया था, जिससे यह ओवरलैप और अधिक महत्वपूर्ण हो गया।

उल्लंघन कैसे फैला

यह मुकदमा केवल शुरुआती खातों के अधिग्रहण तक सीमित नहीं है। स्रोत के अनुसार, हमलावरों ने पहले credential stuffing के जरिए लगभग 14,000 खातों तक पहुँच बनाई, फिर DNA Relatives सुविधा की एक कमजोरी का उपयोग करके लाखों और ग्राहकों के डेटा तक पहुँच हासिल की।

बॉन्टा का कहना है कि कंपनी के सुरक्षा नियंत्रण इतने कमजोर थे कि हमलावर पाँच महीनों तक पकड़े नहीं गए। उनका यह भी कहना है कि कंपनी ने तभी जाँच शुरू की जब चुराया गया उपयोगकर्ता डेटा पहले ही डार्क वेब पर बिक्री के लिए दिखाई देने लगा था और फिरौती की माँगें सामने आई थीं।

प्रकटीकरण और नुकसान

मुकदमे का एक और प्रमुख बिंदु यह है कि 23andMe ने ग्राहकों को सूचित करते समय कथित तौर पर उल्लंघन को कम करके बताया। बॉन्टा का तर्क है कि कंपनी ने महत्वपूर्ण जानकारी छिपाई और यह दावा किया कि DNA Relatives सुविधा मूल रूप से सार्वजनिक थी, जबकि वह हमलावरों के साथ निजी तौर पर बातचीत कर रही थी।

स्रोत पाठ एक विशेष रूप से गंभीर पहलू जोड़ता है: बिक्री के लिए रखे गए डेटासेट में कथित तौर पर एशियाई अमेरिकी और पैसिफ़िक आइलैंडर उपयोगकर्ताओं, साथ ही यहूदी उपयोगकर्ताओं से जुड़ी जानकारी को प्रमुखता से दिखाया गया था। राज्य के अनुसार, इस संदर्भ ने सामान्य गोपनीयता उल्लंघन से आगे बढ़कर लक्षित दुरुपयोग के जोखिम को बढ़ा दिया।

यह मामला क्यों महत्वपूर्ण है

यह किसी उपभोक्ता प्रौद्योगिकी कंपनी के खिलाफ एक और डेटा उल्लंघन का मुकदमा मात्र नहीं है। इसमें आनुवंशिक डेटा शामिल है, जो संवेदनशीलता के एक अलग स्तर का होता है क्योंकि इससे स्वास्थ्य प्रवृत्तियाँ, पारिवारिक संबंध और वंशावली संबंधी गुणों का पता चल सकता है, जिन्हें उपयोगकर्ता पासवर्ड की तरह आसानी से रीसेट नहीं कर सकते। इसलिए कैलिफ़ोर्निया का मामला यह परखता है कि जब मूल जानकारी जैविक रूप से अंतरंग और संभावित रूप से स्थायी हो, तब डेटा-सुरक्षा अपेक्षाएँ कितनी बढ़ जाती हैं।

व्यापक उद्योग के लिए, यह मुकदमा परिचित हमले के तरीकों के बारे में भी एक चेतावनी है। Credential stuffing कोई नई बात नहीं है, और राज्य का रुख प्रतीत होता है कि सामान्य हमले के पैटर्न कमजोर बचाव को उचित नहीं ठहराते, खासकर तब जब कंपनियों को असामान्य रूप से संवेदनशील रिकॉर्ड सौंपे गए हों।

यह मामला उपभोक्ता जीनोमिक्स में सुरक्षा संरचना और उल्लंघन प्रकटीकरण, दोनों के संबंध में अपेक्षाओं को आकार दे सकता है। कम से कम, यह दिखाता है कि नियामक आनुवंशिक-डेटा विफलताओं को साधारण साइबर घटनाओं से अधिक गंभीर मानने के लिए तैयार हैं।

यह लेख Engadget की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें।