ஜெனெடிக் தரவு நிறுவனத்துக்கு எதிராக கலிபோர்னியா நடவடிக்கை எடுக்கிறது
23andMe என முன்பு அறியப்பட்டு, தற்போது Chrome Holding Co. எனப்படும் நிறுவனத்துக்கு எதிராக, 2023-ஆம் ஆண்டு நடந்த மீறலில் 70 லட்சம் பயனர்களின் உணர்வுபூர்வமான தகவல்கள் வெளிப்பட்டதாகக் கூறி கலிபோர்னியா அட்டார்னி ஜெனரல் ராப் பான்டா வழக்கு தொடர்ந்துள்ளார். மூல உரையின் படி, பாதிக்கப்பட்டவர்களில் 8,55,541 பேர் கலிபோர்னியா குடியிருப்பாளர்கள்.
இந்த வழக்கு பாதுகாப்பு நடைமுறைகளையும் வாடிக்கையாளர் தொடர்பாடலையும் குறிவைக்கிறது. உடல்நலத்துடன் தொடர்புடைய மரபணு தரவு, வம்சாவளி மற்றும் இனத் தகவல்கள், மேலும் உயிரியல் உறவினர்களுடன் தொடர்புடைய விவரங்கள் உள்ளிட்ட மிகுந்த உணர்வுபூர்வமான தனிப்பட்ட மற்றும் மரபணு தகவல்களை பாதுகாக்க நிறுவனம் தவறிவிட்டதாக பான்டா குற்றம்சாட்டுகிறார்.
மாநிலத்தின் வழக்கு
23andMe முன்பு, முந்தைய மீறல்களிலிருந்து திருடப்பட்ட உள்நுழைவு விவரங்களைப் பயன்படுத்தி குற்றவாளிகள் credential stuffing மூலம் அணுகல் பெற்றதாக கூறியது. ஆனால் கட்டுரையில் சுருக்கப்பட்டுள்ள கலிபோர்னியா புகாரில், மரபணு தரவை கையாளும் நிறுவனம் அந்த தாக்குதல் முறையை முன்கூட்டியே எதிர்பார்த்து அதற்கு எதிராக பாதுகாப்பு ஏற்படுத்தியிருக்க வேண்டும் என்று வாதிடப்படுகிறது.
பான்டாவின் வாதம் இதைவிட மேலும் செல்கிறது. மற்றொரு வம்சாவளி தளமான MyHeritage-இல் ஒரு மீறல் நடந்திருந்ததை 23andMe அறிந்திருந்தும், credential reuse-ஐத் தடுக்கவோ அதைப் பொருத்தமாகச் சரிபார்க்கவோ இல்லை என்று அவர் கூறுகிறார். 23andMe பயனர்களை MyHeritage கணக்குகளுக்கு பதிவு செய்ய ஊக்குவித்திருந்தது என்றும் கட்டுரை குறிப்பிடுகிறது; இதனால் அந்த தொடர்பு மேலும் முக்கியமானதாகிறது.
மீறல் எவ்வாறு பெரிதானது
இந்த வழக்கு தொடக்கக் கணக்கு கைப்பற்றல்களிலேயே நின்றுவிடவில்லை. மூலத்தின்படி, தாக்குதலாளர்கள் முதலில் credential stuffing மூலம் சுமார் 14,000 கணக்குகளை அணுகினர், பின்னர் DNA Relatives அம்சத்தில் இருந்த ஒரு பலவீனத்தை பயன்படுத்தி மேலும் கோடிக்கணக்கான வாடிக்கையாளர் தரவுகளை எட்டினர்.
கம்பனியின் பாதுகாப்பு கட்டுப்பாடுகள் மிகவும் பலவீனமாக இருந்ததால், தாக்குதலாளர்கள் ஐந்து மாதங்கள் கண்டுபிடிக்கப்படாமல் செயல்பட்டதாக பான்டா கூறுகிறார். மேலும், திருடப்பட்ட பயனர் தரவு ஏற்கனவே dark web-ல் விற்பனைக்கு வந்த பிறகும், மற்றும் ransom demands வெளிப்பட்ட பிறகும்தான் நிறுவனம் விசாரணையைத் தொடங்கியது என்றும் அவர் கூறுகிறார்.
வெளிப்படுத்தலும் பாதிப்பும்
23andMe வாடிக்கையாளர்களுக்கு மீறலை அறிவித்தபோது அதன் தீவிரத்தைக் குறைத்து காட்டியதாகவும் வழக்கில் மற்றொரு முக்கிய குற்றச்சாட்டு உள்ளது. DNA Relatives அம்சம் அடிப்படையில் பொது தகவலாக இருந்தது என்று நிறுவனம் கூறியதாகவும், அதே நேரத்தில் தாக்குதலாளர்களுடன் தனிப்பட்ட முறையில் பேச்சுவார்த்தை நடத்தியதாகவும் பான்டா வாதிடுகிறார்.
விற்பனைக்கு வைக்கப்பட்டிருந்த தரவுத் தொகுப்பில் ஆசிய அமெரிக்க மற்றும் பசிபிக் தீவுகள் பயனர்கள், மேலும் யூத பயனர்கள் தொடர்பான தகவல்கள் வெளிப்படுத்தப்பட்டிருந்ததாக மூல உரை குறிப்பிடுகிறது. மாநிலத்தின் பார்வையில், அந்த சூழல் சாதாரண தனியுரிமை மீறலைத் தாண்டி குறிவைத்த தவறான பயன்பாட்டின் ஆபத்தை அதிகரித்தது.
இந்த வழக்கு ஏன் முக்கியம்
இது ஒரு நுகர்வோர் தொழில்நுட்ப நிறுவனத்துக்கு எதிரான இன்னொரு மீறல் வழக்கு மட்டுமல்ல. இதில் மரபணு தரவு அடங்கியுள்ளது; அது ஆரோக்கிய முன்நிலைகள், குடும்ப இணைப்புகள் மற்றும் வம்ச பண்புகளை வெளிப்படுத்தக்கூடியதால், பயனர்கள் கடவுச்சொல்லைப் போல் அதை எளிதில் மீட்டமைக்க முடியாது. எனவே, அடிப்படைத் தகவல் உயிரியல் ரீதியாக நெருக்கமானதும் நீடித்ததும் ஆகும்போது, தரவு பாதுகாப்பு எதிர்பார்ப்புகள் எவ்வளவு உயர்கின்றன என்பதை இந்த கலிபோர்னியா வழக்கு சோதிக்கிறது.
பெருந்தொழில் துறைக்காகவும், இந்த வழக்கு பரிச்சயமான தாக்குதல் முறைகள் குறித்த எச்சரிக்கையாக உள்ளது. Credential stuffing புதியது அல்ல; குறிப்பாக மிகுந்த உணர்வுபூர்வமான பதிவுகளின் பொறுப்பு நிறுவனங்களிடம் இருக்கும்போது, பொதுவான தாக்குதல் முறைகள் பலவீனமான பாதுகாப்புக்கான காரணம் அல்ல என்பதே மாநிலத்தின் நிலைப்பாடாகத் தோன்றுகிறது.
இந்த வழக்கு நுகர்வோர் ஜீனோமிக்ஸில் பாதுகாப்பு கட்டமைப்பும் மீறல் வெளிப்பாடும் குறித்த எதிர்பார்ப்புகளை வடிவமைக்கக்கூடும். குறைந்தபட்சமாக, மரபணு தரவு தோல்விகளை சாதாரண இணையத் தாக்குதல்களைக் காட்டிலும் வேறுபட்ட கடுமையுடன் ஒழுங்குமுறை அமைப்புகள் பார்க்கத் தயாராக உள்ளன என்பதை இது காட்டுகிறது.
இந்தக் கட்டுரை Engadget வெளியிட்ட செய்தியை அடிப்படையாகக் கொண்டது. அசல் கட்டுரையைப் படிக்கவும்.
Originally published on engadget.com
