Bang California kiện 23andMe vì lơ là bảo vệ dữ liệu người dùng trong vụ tấn công năm 2023

Bang California kiện 23andMe vì lơ là bảo vệ dữ liệu người dùng trong vụ tấn công năm 2023

Tổng chưởng lý California, Rob Bonta, đã đệ đơn kiện công ty kiểm tra gen formerly known as 23andMe vào thứ Năm, cáo buộc công ty này thất bại trong việc bảo vệ dữ liệu nhạy cảm của người dùng trong một vụ vi phạm an ninh mạng nghiêm trọng vào năm 2023. Vụ việc đã ảnh hưởng đến gần 7 triệu người trên khắp nước Mỹ.

Vụ rò rỉ dữ liệu 23andMe

Đơn kiện được đưa ra đối với Chrome Holding Co., tên mới mà 23andMe sử dụng sau khi nộp đơn xin phá sản vào tháng 3 năm nay. 23andMe nổi tiếng với các bộ kit xét nghiệm ADN trực tiếp cho người tiêu dùng, cung cấp cho khách hàng thông tin về nguồn gốc tổ tiên và tiền lệ di truyền của họ đối với một số tình trạng sức khỏe nhất định.

Lỗ hổng bảo mật và tấn công Credential Stuffing

Đơn kiện yêu cầu các hình phạt dân sự đối với 23andMe và các lệnh ngăn chặn công ty vi phạm thêm các luật bảo vệ quyền riêng tư của California. Công ty đã thừa nhận gặp phải một vụ vi phạm bảo mật lớn vào năm 2023, dẫn đến việc khoảng 14.000 tài khoản bị truy cập, qua đó kẻ tấn công đã đánh cắp dữ liệu của gần 7 triệu khách hàng.

Cuộc tấn công mạng này sử dụng phương pháp "credential stuffing" (chèn thông tin đăng nhập), tận dụng thói quen của khách hàng trong việc sử dụng mật khẩu yếu hoặc phổ biến, cũng như tái sử dụng mật khẩu giữa nhiều tài khoản khác nhau.

Văn phòng của ông Bonta cho biết đây là một cuộc tấn công đã được biết đến rộng rãi và các doanh nghiệp cần biết cách phòng chống. Những kẻ tấn công đã sử dụng thông tin đăng nhập bị đánh cắp của người dùng, bao gồm cả thông tin từ một vụ rò rỉ dữ liệu lớn vào tháng 10 năm 2017 ảnh hưởng đến MyHeritage - một đối tác cũ của 23andMe. Sau vụ việc đó, 23andMe đã không thực hiện các giao thức phổ biến như yêu cầu khách hàng đặt lại mật khẩu hoặc sử dụng xác thực đa yếu tố (MFA).

Phản ứng chậm chạp và hậu quả nghiêm trọng

Các công tố viên cho biết trong đơn kiện rằng: "Các biện pháp bảo mật của 23andMe quá lỏng lẻo đến mức tác nhân đe dọa có thể hoạt động trong hệ thống của 23andMe hơn năm tháng mà không bị phát hiện. Đáng chú ý là 23andMe chỉ bắt đầu điều tra sau khi tác nhân đe dọa đưa dữ liệu người dùng bị đánh cắp lên bán trên dark web và liên hệ với 23andMe để đòi tiền chuộc."

Vào tháng 10 năm 2023, dữ liệu bị đánh cắp đã xuất hiện để bán trên dark web, với người đăng quảng cáo cụ thể khoe khoang rằng dữ liệu của khoảng 1,1 triệu người tiêu dùng thuộc về người dùng gốc Á-Thái Bình Dương và người Do Thái Ashkenazi.

Ông Bonta nhấn mạnh trong một thông cáo báo chí: "Việc bán dữ liệu này trên dark web diễn ra trong bối cảnh sự thù địch và bạo lực đối với người Mỹ gốc Á-Thái Bình Dương và người Do Thái đang gia tăng. Điều này thật đáng báo động và vô cùng nguy hiểm."

Dữ liệu nhạy cảm bị đánh cắp

Trong số dữ liệu bị đánh cắp có dữ liệu gen thô, báo cáo sức khỏe, ADN được chia sẻ với người thân khác, cũng như vị trí và năm sinh của người thân. Đơn kiện cho rằng sau khi thông báo cho công chúng về vụ vi phạm, 23andMe tiếp tục gây hiểu lầm cho người tiêu dùng về mức độ nghiêm trọng của vụ việc và vai trò của công ty trong đó.

Công ty cho biết họ chỉ phát hiện ra vụ vi phạm vào tháng 10 năm 2023 khi dữ liệu bị đánh cắp được đăng bán. Tuy nhiên, đơn kiện cho biết công ty đã không điều tra đúng cách các dấu hiệu cảnh báo xuất hiện vài tháng trước đó, chẳng hạn như "sự gia tăng đáng ngờ trong các lần thử đăng nhập của người dùng" vào tháng 7 và một bài đăng trên Reddit thảo luận về một vụ vi phạm có thể xảy ra vào tháng 8.

Đơn kiện khẳng định dữ liệu gen đòi hỏi "một trong những mức độ bảo vệ cao nhất" và luật pháp California "quy định nghĩa vụ pháp lý được nâng cao" để bảo vệ nó.

Vào năm 2024, 23andMe đã đồng ý trả 30 triệu USD để dàn xếp trong một vụ kiện tập thể cáo buộc công ty không bảo vệ khách hàng có thông tin cá nhân bị lộ trong vụ vi phạm này. Số tiền này sau đó đã được tăng lên 50 triệu USD để giải quyết các khiếu nại của hầu hết khách hàng tại Mỹ và nhận được sự chấp thuận cuối cùng vào tháng 1 bởi một thẩm phán liên bang giám sát quá trình phá sản của 23andMe.