加州就 2023 年影响 700 万用户的数据泄露起诉 23andMe

加州对一家基因数据公司采取行动

加州总检察长罗布·邦塔起诉了这家公司，原名 23andMe，现为 Chrome Holding Co.，原因是 2023 年的数据泄露暴露了 700 万用户的敏感信息。根据原文，其中 855,541 名受影响用户是加州居民。

这起诉讼同时针对安全做法和客户沟通。邦塔指控该公司未能保护高度敏感的个人和基因信息，包括与健康相关的基因数据、祖源和族裔信息，以及与生物学亲属相关的信息。

州政府的案件

23andMe 此前曾表示，恶意行为者通过 credential stuffing 获得了访问权限，使用的是先前泄露中被盗的登录凭据。但文章概述的加州诉状认为，一家处理基因数据的公司本应预见这种攻击方式并做好防御。

邦塔的论点更进一步。他说，23andMe 知道其合作的另一家家谱平台 MyHeritage 发生过泄露，却没有防止凭据复用，也没有充分检查这一问题。文章还说，23andMe 曾鼓励用户注册 MyHeritage 账户，这使得这种重叠更具意义。

泄露如何扩大

这起诉讼不仅仅针对最初的账户接管。根据原文，攻击者先通过 credential stuffing 访问了大约 14,000 个账户，然后利用 DNA Relatives 功能中的一个弱点获取了数百万更多客户的数据。

邦塔说，该公司的安全控制如此薄弱，以至于攻击者连续五个月都未被发现。他还说，公司直到被盗用户数据已经出现在暗网出售并且勒索要求出现后，才开始调查。

披露与伤害

诉讼中的另一个重要点是，23andMe 在通知客户时被指淡化了这次泄露。邦塔认为，公司遗漏了关键信息，并声称 DNA Relatives 功能本质上是公开的，尽管它当时正与攻击者进行私下谈判。

原文还增加了一个尤其严重的维度：待售数据集据称突出显示了涉及亚裔美国人和太平洋岛民用户，以及犹太用户的信息。在州政府看来，这一背景使定向滥用的风险超出了普通的隐私暴露。

为什么此案重要

这不仅仅又是一宗针对消费科技公司的数据泄露诉讼。它涉及基因数据，因为这类信息具有不同程度的敏感性，能够揭示健康倾向、家族联系和祖源特征，而用户无法像重置密码那样简单重置它。加州的案件因此在检验：当底层信息在生物学上私密且可能具有长期性时，数据保护预期应提高到什么程度。

对于整个行业来说，这起诉讼也是对常见攻击手法的警告。credential stuffing 并不新鲜，而州方的立场似乎是，常见攻击模式不能成为防御薄弱的借口，尤其是在公司被委托保存异常敏感记录时。

此案可能会影响消费级基因组学中对安全架构和泄露披露的预期。至少，它表明监管机构准备将基因数据失误视为不只是普通网络事件。

本文基于 Engadget 的报道。阅读原文。