В письме говорится, что 23andMe сообщила жертвам утечки данных, что судебные иски бесполезны

23andMe «бесстыдно» обвиняет жертв утечка данных затронула 6,9 миллиона пользователейадвокат, представляющий интересы потерпевших по групповому иску, Хасан Заварей, рассказал >.

Заварей поделился письмо от юристов 23andMe, которые призвали пользователей, подающих иск, «подумать о бесполезности продолжения судебного разбирательства по этому делу», поскольку их претензии якобы необоснованны, а «информация, к которой потенциально был получен доступ, не может быть использована для какого-либо вреда».

В прошлом году хакеры получили доступ к 14 000 учетным записям на 23andMe, используя пароли, которые ранее были взломаны во время инцидентов безопасности на других веб-сайтах. Используя эту тактику, известную как подмена учетных данных, хакеры могут получить доступ к личным данным миллионов пользователей 23andMe, которые согласились на Функция ДНК-родственниковвключая генетическую информацию, такую ​​как процент ДНК, переданный скомпрометированным пользователям.

Хотя 23andMe заявила, что дело не имеет оснований, суды еще не взвесили многочисленные вопросы, поднятые пользователями, подающими в суд на компанию по поводу предполагаемого ущерба. В декабре Окружной суд США в Иллинойсе найденный что более 100 пользователей, представленных фирмой Завареи, «правдоподобно» потребовали возмещения ущерба, превышающего 5 миллионов долларов. Эти жертвы утверждали, что 23andMe задолжала им компенсацию за потерю ценности их личной информации, затраты на «устранение последствий взлома» и эмоциональный стресс. Потерпевшие также хотят, чтобы суд обязал 23andMe вернуть всю прибыль, удержанную в результате «невыполненного обещания защитить их данные».

На данный момент в результате взлома на 23andMe было подано более 30 исков в федеральные суды США и суды штатов, а также в суды Британской Колумбии и Онтарио, Канада, что позволяет предположить, что 23andMe может в конечном итоге задолжать гораздо больше, чем 5 долларов. миллион. Из-за большого количества потерпевших, подающих в суд, предпринимаются усилия по объединению этих дел посредством судебных разбирательств в нескольких округах, чтобы уменьшить нагрузку на суды.

Сделала ли 23andMe достаточно для защиты данных?

В коллективном иске, поданном фирмой Заварии, более 100 потерпевших обвинили 23andMe в нарушении различных законов штата, в том числе Закона о правах на конфиденциальность Калифорнии (CPRA), который считается самым жестким законом о конфиденциальности потребителей в США.

Под CPRAКомпании, собирающие конфиденциальные данные, должны обеспечить «разумные процедуры безопасности», но закон остается расплывчатым и не определяет, что считать разумным.

«Компания, которая собирает личную информацию потребителя, должна применять разумные процедуры и методы обеспечения безопасности, соответствующие характеру личной информации, для защиты личной информации от несанкционированного или незаконного доступа, уничтожения, использования, изменения или раскрытия», — говорится в законе.

Эта неопределенность, по-видимому, дала 23andMe возможность утверждать, что в взломе виноваты пользователи, которые «небрежно переработали и не обновили свои пароли» после «прошлых инцидентов безопасности», и «следовательно, инцидент не был результатом предполагаемого сбоя 23andMe». поддерживать разумные меры безопасности в соответствии с CPRA».

«Инцидент стал результатом того, что пользователи не смогли защитить учетные данные своей учетной записи, за что 23andMe не несет ответственности», — говорится в письме 23andMe.

Но Заварей сказал >, что 23andMe «укачивать пальцем бессмысленно». Заварей предложил другую юридическую интерпретацию того, что должно было считаться «разумными процедурами безопасности» для веб-сайта, собирающего настолько конфиденциальные данные, что иногда они считаются более ценными на черном рынке, например, медицинские и генетические данные.

«23andMe знала или должна была знать, что многие потребители используют переработанные пароли, и поэтому 23andMe должна была внедрить некоторые из многих доступных мер защиты от подтасовки учетных данных, особенно учитывая, что 23andMe хранит на своей платформе личную идентификационную информацию, медицинскую информацию и генетическую информацию. — сказал Заварей.