【KTSF 萬若全報導】
總部位於南舊金山的基因技術公司23andMe,去年底傳出客戶個資遭駭客竊取外洩,代表客戶的律師上星期提出集體訴訟官司,而有資料顯示,駭客竊取個資的目標是猶太裔和華裔。
23andMe有700萬客戶,訴訟主要針對該公司據稱缺乏足夠的安全流程,以及對駭客攻擊的遲緩反應。
去年4月,該公司針對黑侵事件做出反應,但一直到10月才披露出來,然而訴訟稱,當時公司沒有披露駭客的目標是德系猶太裔和有華人血統的客戶。
根據訴訟,駭客竊取了100萬德系猶太人和35萬華裔客戶的敏感信息,並在「暗網」(dark web)上出售引發這些群體對「個人安全和客戶保障,至他們於遭受種族歧視或被騷擾的風險」。
原告律師Gia Jung表示,這種情況跟典型的個資外洩不同,因為大多是竊取財物相關訊息,而非遺傳或健康資訊,23andMe的情況,使得補救變得困難。
訴狀還稱,這些資訊可用於針對猶太人,以對巴勒斯坦的行為進行報復,或發動「有針對性的資訊操縱心理社交工程攻擊」。
23andMe去年10月才首次披露被駭事件,駭客使用重複密碼,得以進入1萬4000個帳戶,大約有將近700萬資料遭竊。
23andMe的電腦網路沒有被破壞,被用來闖入這些帳戶的密碼,是從其它網站竊取的,由於它們被重複使用,因此也適用於23andMe的帳戶。
這種攻擊類型被稱為「撞庫攻擊」(credential stuffing),它讓23andMe及其他大企業一樣成為這㮔網路犯罪趨勢的受害者,但像23andMe這樣數據出問題的情況實屬罕見。
據了解,23andMe沒有強制性的雙重認證協議,使得駭客能夠向該公司發起大規模的偽造憑證嘗試。
針對此訴訟,23andMe發聲明,針對個資外洩,已向所有客戶通報了該事件,要求重設所有密碼,並強制執行雙重身份驗證,保護客戶的資料隱私和安全,仍然是23andMe的首要任務。
(Copyright 2024 KTSF. All Rights Reserved. This material may not be published, broadcast, rewritten, or redistributed.)
版權所有,不得轉載。
