違規通知與揭露
23andMe 向加州總檢察長辦公室提交了一份通知,確認該公司在2023 年4 月下旬至2023 年9 月期間遭到駭客攻擊。該公司最初在10 月6 日的一篇部落格文章中披露了這起入侵事件,其中提到一名「威脅行為者」使用來自受感染的外部網站的「回收的登入憑證」獲得了對「某些帳戶」的存取權限。然而,在與第三方取證專家進行內部審查後,直到 12 月 5 日更新的部落格文章中才披露了此次洩露的全部範圍,包括用戶個人基因資訊的暴露。
影響力與訴訟意義
原告的代理律師之一傑伊·艾德爾森 (Jay Edelson) 表示,這起訴訟標誌著消費者隱私法的轉變。他認為,資料敏感度外洩現在已經升級到了這樣的程度,首先要擔心的是這些資訊是否可以用於大規模的人身騷擾或傷害。這次洩露的複雜性在於,客戶選擇了一項名為「DNA 親屬」的功能,這導致550 萬名DNA 親屬的個人資料資訊可能被洩露,包括地理位置、出生年份、家譜和上傳的照片。
駭客的行為
訴訟稱,駭客使用「Golem」這個名字和 Gollum 的頭像作為頭像,洩露了在線論壇 BreachForums 上超過 100 萬具有猶太血統的 23andMe 用戶的個人資料。洩漏的資料包括用戶的全名、家庭住址和出生日期。此外,駭客還提供了 10 萬中國客戶的個人資料訊息,還有 35 萬筆記錄可供出售。該訴訟強調了使用者在當前地緣政治和社會環境下面臨的更大風險,特別是針對美國猶太人口的潛在目標。
更廣泛的影響和未來的預防措施
加州大學洛杉磯分校教授拉梅什·斯里尼瓦桑 (Ramesh Srinivasan) 表示,類似的違規行為可能會繼續發生。他提出了公司將如何應對的問題:採取認真的預防措施,例如提高安全性和限制資料保留,或僅採取表面補救措施而不解決根本問題。這次洩漏提醒人們,隨著人們生活的日益資料化,危險也日益增加。