2023 డేటా లీక్‌లో 70 లక్షల మంది ప్రభావితమయ్యారనే ఆరోపణతో 23andMeపై కాలిఫోర్నియా కేసు వేసింది

జెనెటిక్ డేటా సంస్థపై కాలిఫోర్నియా చర్య తీసుకుంటోంది

ఇంతకు ముందు 23andMeగా పిలవబడిన, ప్రస్తుతం Chrome Holding Co.గా ఉన్న సంస్థపై, 2023లో జరిగిన లీక్‌లో 70 లక్షల మంది వినియోగదారుల సున్నితమైన సమాచారం బయటపడినందుకు కాలిఫోర్నియా అటార్నీ జనరల్ రాబ్ బొంటా కేసు వేశారు. మూల పాఠ్యం ప్రకారం, ప్రభావితులలో 8,55,541 మంది కాలిఫోర్నియా నివాసితులు.

ఈ కేసు భద్రతా విధానాలు మరియు కస్టమర్ కమ్యూనికేషన్ రెండింటినీ లక్ష్యంగా చేసుకుంది. ఆరోగ్యంతో సంబంధం ఉన్న జన్యు డేటా, వంశావళి మరియు జాతి వివరాలు, అలాగే జీవ సంబంధ బంధువులతో అనుసంధానమైన సమాచారాన్ని 포함చేసి అత్యంత సున్నితమైన వ్యక్తిగత మరియు జన్యు సమాచారాన్ని రక్షించడంలో కంపెనీ విఫలమైందని బొంటా ఆరోపిస్తున్నారు.

రాష్ట్రం వాదన

23andMe గతంలో, మునుపటి లీకుల నుంచి దొంగిలించిన లాగిన్ వివరాలను ఉపయోగించి దాడి చేసేవారు credential stuffing ద్వారా ప్రవేశం పొందారని చెప్పింది. కానీ వ్యాసంలో సారాంశంగా ఉన్న కాలిఫోర్నియా ఫిర్యాదు, జన్యు డేటాను నిర్వహించే సంస్థ ఆ దాడి విధానాన్ని ముందుగానే ఊహించి దానిపై రక్షణ కల్పించి ఉండాల్సిందని వాదిస్తోంది.

బొంటా వాదన ఇంకా ముందుకెళ్తుంది. MyHeritage అనే మరో వంశావళి ప్లాట్‌ఫారమ్‌లో లీక్ జరిగిందని 23andMeకు తెలుసు, కానీ credential reuseను అడ్డుకోలేదని లేదా తగిన విధంగా తనిఖీ చేయలేదని ఆయన అంటున్నారు. 23andMe వినియోగదారులను MyHeritage ఖాతాలకు నమోదు కావాలని ప్రోత్సహించిందని కూడా వ్యాసం చెబుతోంది, దీంతో ఆ పొరపాటు మరింత కీలకమైంది.

లీక్ ఎలా విస్తరించింది

ఈ కేసు మొదటి ఖాతా స్వాధీనాలకే పరిమితం కాదు. మూలం ప్రకారం, దాడి చేసేవారు ముందుగా credential stuffing ద్వారా సుమారు 14,000 ఖాతాలకు ప్రవేశించారు, ఆపై DNA Relatives ఫీచర్‌లోని ఒక బలహీనతను ఉపయోగించి మరెన్నో లక్షల మంది కస్టమర్ల డేటాను చేరుకున్నారు.

కంపెనీ భద్రతా నియంత్రణలు అంత బలహీనంగా ఉండటంతో దాడి చేసేవారు ఐదు నెలల పాటు గుర్తించబడకుండా పనిచేశారని బొంటా అంటున్నారు. దొంగిలించిన వినియోగదారుల డేటా ఇప్పటికే dark webలో అమ్మకానికి కనిపించిన తరువాత, అలాగే ransom demands వెలుగులోకి వచ్చిన తరువాత మాత్రమే కంపెనీ దర్యాప్తు ప్రారంభించిందని కూడా ఆయన చెబుతున్నారు.

వెల్లడింపు మరియు నష్టం

వినియోగదారులకు లీక్ గురించి తెలియజేసేటప్పుడు 23andMe దాని తీవ్రతను తగ్గించి చూపిందని కూడా ఈ కేసులో మరో ముఖ్యాంశం ఉంది. DNA Relatives ఫీచర్ ప్రాథమికంగా పబ్లిక్ అని కంపెనీ చెప్పినప్పటికీ, అదే సమయంలో దాడి చేసేవారితో ప్రైవేట్‌గా చర్చలు జరుపుతోందని బొంటా వాదిస్తున్నారు.

విక్రయానికి ఉంచిన డేటాసెట్‌లో Asian American మరియు Pacific Islander వినియోగదారులతో పాటు Jewish వినియోగదారులకు సంబంధించిన సమాచారం ఉందని మూల పాఠ్యం చెబుతోంది. రాష్ట్రం చెప్పిన విధంగా, ఆ సందర్భం సాధారణ గోప్యతా ప్రమాదాన్ని మించి లక్ష్యిత దుర్వినియోగ ప్రమాదాన్ని పెంచింది.

ఈ కేసు ఎందుకు ముఖ్యమైంది

ఇది ఒక వినియోగదారుల టెక్నాలజీ కంపెనీపై వేసిన మరొక లీక్ కేసు మాత్రమే కాదు. ఇందులో జన్యు డేటా ఉంది, ఇది ఆరోగ్య ప్రవణతలు, కుటుంబ సంబంధాలు, వంశ లక్షణాలను వెల్లడించగలదు కాబట్టి, వినియోగదారులు దాన్ని పాస్‌వర్డ్‌లా సులభంగా రీసెట్ చేయలేరు. కాబట్టి, మూల సమాచారం జీవశాస్త్రీయంగా సన్నిహితమైనదిగా మరియు దీర్ఘకాలికమైనదిగా ఉన్నప్పుడు, డేటా రక్షణ అంచనాలు ఎంతవరకు పెరుగుతాయో ఈ కాలిఫోర్నియా కేసు పరీక్షిస్తోంది.

విస్తృత పరిశ్రమకు కూడా ఈ కేసు పరిచిత దాడి పద్ధతులపై హెచ్చరిక. Credential stuffing కొత్తది కాదు, మరియు సాధారణ దాడి నమూనాలు బలహీన రక్షణకు కారణం కావని, ముఖ్యంగా కంపెనీలకు అసాధారణంగా సున్నితమైన రికార్డులు అప్పగించినప్పుడు, రాష్ట్రం భావిస్తున్నట్లు కనిపిస్తోంది.

ఈ కేసు వినియోగదారుల జీనోమిక్స్‌లో భద్రతా నిర్మాణం మరియు లీక్ వెల్లడింపులపై అంచనాలను ప్రభావితం చేయవచ్చు. కనీసం, జన్యు-డేటా వైఫల్యాలను సాధారణ సైబర్ ఘటనలకంటే ఎక్కువ తీవ్రతతో నియంత్రణ సంస్థలు చూడటానికి సిద్ధంగా ఉన్నాయని ఇది చూపిస్తోంది.

ఈ వ్యాసం Engadget రిపోర్టింగ్ ఆధారంగా రూపొందింది. మూల వ్యాసాన్ని చదవండి.