2023 च्या डेटा उल्लंघनावरून 23andMe विरोधात कॅलिफोर्नियाची केस

जिनेटिक डेटा कंपनीविरुद्ध कॅलिफोर्नियाची कारवाई

पूर्वी 23andMe म्हणून ओळखल्या जाणाऱ्या आणि आता Chrome Holding Co. नावाने काम करणाऱ्या कंपनीवर 2023 मधील त्या उल्लंघनाबद्दल कॅलिफोर्नियाचे अॅटर्नी जनरल रॉब बोंटा यांनी खटला दाखल केला आहे, ज्यात 70 लाख वापरकर्त्यांची संवेदनशील माहिती उघड झाली. स्रोत मजकुरानुसार, प्रभावित वापरकर्त्यांपैकी 8,55,541 कॅलिफोर्नियाचे रहिवासी होते.

हा खटला सुरक्षा पद्धती आणि ग्राहक संवाद दोन्हीवर प्रश्न उपस्थित करतो. आरोग्याशी संबंधित जनुकीय डेटा, वंशावळ आणि जातीय तपशील, तसेच जैविक नातेवाईकांशी संबंधित माहिती यांसह अत्यंत संवेदनशील वैयक्तिक आणि जनुकीय माहितीचे संरक्षण करण्यात कंपनी अपयशी ठरल्याचा बोंटा यांचा आरोप आहे.

राज्याची बाजू

23andMe ने यापूर्वी सांगितले होते की मागील उल्लंघनांमधून चोरी केलेल्या लॉगिन तपशीलांचा वापर करून गुन्हेगारांनी credential stuffing द्वारे प्रवेश मिळवला. पण लेखात संक्षेपित केलेल्या कॅलिफोर्नियाच्या तक्रारीनुसार, जनुकीय डेटा हाताळणाऱ्या कंपनीने अशी हल्ल्याची पद्धत आधीच अपेक्षित धरून तिच्याविरुद्ध संरक्षण करायला हवे होते.

बोंटा यांचा युक्तिवाद याहूनही पुढे जातो. त्यांचे म्हणणे आहे की MyHeritage मध्ये झालेल्या उल्लंघनाची, जी एक दुसरी वंशावळ मंच आहे आणि ज्याच्यासोबत 23andMe काम करत होते, कंपनीला माहिती होती; तरीही credential reuse रोखले गेले नाही किंवा त्याची पुरेशी तपासणीही झाली नाही. लेखात असेही म्हटले आहे की 23andMe ने वापरकर्त्यांना MyHeritage खाती तयार करण्यास प्रोत्साहन दिले होते, त्यामुळे हा overlap अधिक महत्त्वाचा ठरतो.

उल्लंघन कसे वाढले

हा खटला केवळ सुरुवातीच्या खाते-ताब्यावर केंद्रित नाही. स्रोताप्रमाणे, हल्लेखोरांनी आधी credential stuffing वापरून सुमारे 14,000 खाती उघडली, नंतर DNA Relatives फीचरमधील एका त्रुटीचा वापर करून लाखो अधिक ग्राहकांच्या डेटापर्यंत पोहोच मिळवली.

कंपनीची सुरक्षा नियंत्रणं इतकी कमजोर होती की हल्लेखोर पाच महिने न पकडता काम करत होते, असे बोंटा म्हणतात. चोरी झालेला वापरकर्ता डेटा आधीच dark web वर विक्रीसाठी दिसू लागल्यानंतर आणि ransom demands समोर आल्यानंतरच कंपनीने चौकशी सुरू केली, असेही ते म्हणतात.

प्रकटीकरण आणि हानी

ग्राहकांना उल्लंघनाची माहिती देताना 23andMe ने त्याचे गांभीर्य कमी करून दाखवले, हा खटल्यातील आणखी एक महत्त्वाचा मुद्दा आहे. बोंटा यांचा युक्तिवाद आहे की कंपनीने महत्त्वाची माहिती वगळली आणि DNA Relatives फीचर मूलतः सार्वजनिक आहे, असा दावा केला, तरीही ती हल्लेखोरांशी खासगीरीत्या वाटाघाटी करत होती.

स्रोत मजकूर एक विशेष गंभीर पैलू जोडतो: विक्रीसाठी ठेवलेल्या डेटासेटमध्ये Asian American आणि Pacific Islander वापरकर्त्यांशी तसेच Jewish वापरकर्त्यांशी संबंधित माहिती अधोरेखित केली गेली होती, असे म्हटले आहे. राज्याच्या म्हणण्यानुसार, त्या संदर्भामुळे सामान्य गोपनीयता धोक्यापलीकडे लक्ष्यित गैरवापराचा धोका वाढला.

हे प्रकरण का महत्त्वाचे आहे

हा केवळ एका ग्राहक तंत्रज्ञान कंपनीविरुद्ध आणखी एक उल्लंघन खटला नाही. यात जनुकीय डेटा आहे, जो आरोग्य प्रवृत्ती, कौटुंबिक संबंध आणि वंशपरंपरागत गुणधर्म उघड करू शकतो, आणि वापरकर्ते तो पासवर्डप्रमाणे सहज रीसेट करू शकत नाहीत. त्यामुळे, मूलभूत माहिती जैविकदृष्ट्या जवळची आणि दीर्घकाळ टिकणारी असताना डेटा-संरक्षणाची अपेक्षा किती वाढते, हे कॅलिफोर्नियाचे हे प्रकरण तपासत आहे.

विस्तृत उद्योगासाठीही हा खटला परिचित हल्ल्यांच्या पद्धतींबाबत इशारा आहे. Credential stuffing नवीन नाही, आणि राज्याची भूमिका अशी दिसते की सामान्य हल्ल्यांचे नमुने कमजोर बचावाचे कारण ठरू शकत नाहीत, विशेषतः जेव्हा कंपन्यांना अत्यंत संवेदनशील नोंदी सोपवल्या जातात.

हे प्रकरण ग्राहक जीनोमिक्समध्ये सुरक्षा रचना आणि उल्लंघन प्रकटीकरणाविषयीच्या अपेक्षा घडवू शकते. किमान, जीनेटिक-डेटा अपयशांना सामान्य सायबर घटनांपेक्षा अधिक गंभीरतेने हाताळण्यास नियामक तयार आहेत, हे यातून दिसते.

हा लेख Engadget च्या वार्तांकनावर आधारित आहे. मूळ लेख वाचा.