基因測試公司23andme週五宣布了最近的數據洩露,該數據可訪問大約14,000個客戶帳戶。該公司在全球範圍內擁有超過1400萬個客戶,確定黑客訪問了其客戶群的0.1%。
儘管違規行為影響了一小部分,但攻擊者還可以通過23andMe的DNA親戚功能訪問包含有關其他用戶祖先的個人資料信息的文件。
黑客訪問23andMe的祖先數據
這公司的新文件與美國證券交易委員會一起提供了有關事件的更多詳細信息。進行了立即進行調查,以找到威脅行為者,他們聲稱擁有23AndMe用戶的個人資料信息。
23 AndMe聘請了第三方事件反應專家評估未經授權活動的程度。根據調查,黑客訪問了一小部分用戶帳戶(0.1%),其中用戶名和密碼與其他網站遭到折衷或可用的密碼相匹配。
折衷的帳戶包含不同的信息,包括祖先的細節,以及基於遺傳學的子集與健康相關的信息。
攻擊者還訪問了包含有關其他用戶祖先的個人資料信息的“大量”文件,通過DNA親戚功能共享,技術緊縮報告。為了減輕影響,23andMe表示目前正在努力從公共領域刪除洩漏的信息。
該公司已採取步驟來增強用戶數據保護,包括10月10日為所有用戶重置強制性密碼和實施兩步驗證對於11月6日的新用戶和現有用戶。
違規的財務影響
據估計,在12月31日的第三季度,違反行為的財務影響估計會導致一次性費用在100萬至200萬美元之間。
這些費用涵蓋了技術諮詢服務,律師費和第三方顧問費用。儘管該公司承認對其財務業績的潛在負面影響,但目前無法估計影響的全部影響範圍。
該違規行為導致對各種司法管轄區的23AndMe提出了多項集體訴訟主張,包括加利福尼亞州的聯邦和州法院,伊利諾伊州的州法院以及不列顛哥倫比亞省的法院和加拿大的安大略省。
該公司正在為這些案件辯護,這些案件處於早期階段,同時還針對《加利福尼亞州消費者隱私法》和政府官員和機構的詢問探討了通知。
儘管23andMe認為其對此事的調查已經完成,但它承認出現了新信息的可能性。公司承諾根據適用法律要求更新信息。當前,包括保險範圍的可用性(包括保險的可用性)的全部範圍尚不確定。
該公司在文件中說:“ 23AndMe正在向受到適用法律要求的事件影響的用戶提供通知。儘管沒有公司完全消除了網絡攻擊的風險,但該公司已採取某些步驟來進一步保護其用戶的數據。”
