(SeaPRwire) – Kira-kira 6.9 juta pelanggan 23andMe telah data mereka dibocorkan selepas seorang penggodam tanpa nama mengakses dan memaparkan mereka untuk dijual di internet awal tahun ini, syarikat itu berkata pada Isnin.
Data yang terdedah termasuk maklumat keturunan pengguna serta, bagi sesetengah pengguna, maklumat kesihatan berdasarkan profil genetik mereka, syarikat itu berkata dalam e-mel.
Pendokong privasi telah lama memperingatkan bahawa berkongsi DNA dengan syarikat ujian seperti 23andMe dan Ancestry membuat pengguna terdedah kepada pendedahan maklumat genetik sensitif yang boleh mendedahkan risiko kesihatan individu dan mereka yang berkaitan dengan mereka.
Dalam kes pelanggaran 23andMe, penggodam hanya mengakses secara langsung kira-kira 14,000 daripada 14 juta pelanggan 23andMe, atau 0.1%. Tetapi pada 23andMe, kebanyakan pengguna memilih untuk berkongsi maklumat dengan orang yang berkaitan secara genetik mereka – yang boleh termasuk sepupu jauh yang mereka tidak pernah bertemu, selain daripada ahli keluarga terdekat – untuk mempelajari genetik mereka sendiri dan membina pokok keluarga mereka. Jadi melalui 14,000 akaun itu, penggodam dapat mengakses maklumat berkaitan jutaan lagi. Subset yang lebih kecil pelanggan mempunyai data kesihatan yang diakses.
Pengguna boleh memilih sama ada untuk berkongsi pelbagai jenis data, termasuk nama, lokasi, keturunan dan maklumat kesihatan seperti kecenderungan genetik kepada keadaan seperti asma, kebimbangan, tekanan darah tinggi dan degradasi makula.
Pendedahan maklumat sedemikian boleh membawa implikasi yang membimbangkan. Di AS, maklumat kesihatan biasanya dilindungi oleh apa yang dikenali sebagai Akta Perlindungan dan Bertanggungjawab Kesihatan (HIPAA). Tetapi perlindungan sedemikian hanya terpakai kepada pembekal perkhidmatan kesihatan.
Akta Diskriminasi Maklumat Genetik 2008 (GINA), melindungi terhadap diskriminasi dalam pekerjaan dan insurans kesihatan sekiranya maklumat daripada ujian DNA terdedah ke dunia luar. Ini bertujuan melindungi individu daripada ditolak pekerjaan atau insurans jika, contohnya, ujian DNA mendedahkan mereka berisiko akan membangunkan keadaan menyusahkan pada masa hadapan.
Tetapi undang-undang itu mempunyai lubang; kedua-dua penanggung insurans hayat dan penanggung insurans kecacatan, contohnya, bebas untuk menolak polisi kepada orang berdasarkan maklumat genetik mereka.
Terdapat pelanggaran data lain syarikat ujian DNA. Tetapi 23andMe ialah pelanggaran syarikat besar pertama di mana pendedahan maklumat kesihatan didedahkan secara awam. (Suruhanjaya Perdagangan Persekutuan baru-baru ini memerintahkan syarikat kecil, Vitagene, untuk mengukuhkan perlindungan selepas maklumat kesihatan .)
Penggodam kelihatan menggunakan apa yang dikenali sebagai “credential stuffing” untuk mengakses akaun pelanggan, dengan log masuk ke akaun 23andMe individu dengan menggunakan kata laluan yang digunakan semula dan digunakan untuk laman web lain yang sebelum ini dibobol. Syarikat itu berkata tiada bukti pelanggaran dalam sistemnya sendiri.
Sejak kejadian itu, syarikat itu telah mengumumkan bahawa ia akan memerlukan pengesahan dua faktor untuk melindungi serangan “credential stuffing” di laman web itu. Ia menyatakan bahawa ia dijangka menanggung kos sebanyak AS$1 juta hingga AS$2 juta berkaitan dengan pelanggaran itu.
Artikel ini disediakan oleh pembekal kandungan pihak ketiga. SeaPRwire (https://www.seaprwire.com/) tidak memberi sebarang waranti atau perwakilan berkaitan dengannya.
Sektor: Top Story, Berita Harian
SeaPRwire menyampaikan edaran siaran akhbar secara masa nyata untuk syarikat dan institusi, mencapai lebih daripada 6,500 kedai media, 86,000 penyunting dan wartawan, dan 3.5 juta desktop profesional di seluruh 90 negara. SeaPRwire menyokong pengedaran siaran akhbar dalam bahasa Inggeris, Korea, Jepun, Arab, Cina Ringkas, Cina Tradisional, Vietnam, Thai, Indonesia, Melayu, Jerman, Rusia, Perancis, Sepanyol, Portugis dan bahasa-bahasa lain.