Thông báo và tiết lộ vi phạm
23andMe đã gửi thông báo tới Văn phòng Bộ trưởng Tư pháp California, xác nhận rằng công ty đã bị tấn công từ cuối tháng 4 đến tháng 9 năm 2023. Ban đầu, công ty tiết lộ hành vi vi phạm trong một bài đăng trên blog vào ngày 6 tháng 10, trong đó đề cập rằng một “tác nhân đe dọa” đã giành được quyền truy cập vào “một số tài khoản nhất định” bằng cách sử dụng “thông tin đăng nhập được tái chế” từ các trang web bên ngoài bị xâm nhập. Tuy nhiên, toàn bộ mức độ vi phạm, bao gồm cả việc tiết lộ thông tin di truyền cá nhân của người dùng, chỉ được tiết lộ trong một bài đăng blog cập nhật vào ngày 5 tháng 12 sau khi xem xét nội bộ với các chuyên gia pháp y bên thứ ba.
Ý nghĩa và tầm quan trọng của vụ kiện
Vụ kiện đánh dấu sự thay đổi trong luật về quyền riêng tư của người tiêu dùng, theo Jay Edelson, một trong những luật sư đại diện cho nguyên đơn. Ông tin rằng độ nhạy cảm của dữ liệu bị vi phạm hiện đã leo thang đến mức mối quan tâm đầu tiên là liệu thông tin đó có thể được sử dụng để quấy rối hoặc gây tổn hại về thể chất trên quy mô lớn hay không. Sự phức tạp của vi phạm nằm ở chỗ khách hàng đã chọn tham gia một tính năng có tên là Người thân DNA, dẫn đến khả năng lộ thông tin hồ sơ từ 5,5 triệu Người thân DNA, bao gồm vị trí địa lý, năm sinh, cây gia phả và ảnh được tải lên.
Hành động của hacker
Vụ kiện cho rằng hacker, sử dụng tên “Golem” và hình ảnh Gollum làm hình đại diện, đã rò rỉ dữ liệu cá nhân của hơn 1 triệu người dùng 23andMe có tổ tiên là người Do Thái trên diễn đàn trực tuyến BreachForums. Dữ liệu bị rò rỉ bao gồm tên đầy đủ, địa chỉ nhà và ngày sinh của người dùng. Ngoài ra, hacker còn cung cấp quyền truy cập vào thông tin hồ sơ của 100.000 khách hàng Trung Quốc, với 350.000 hồ sơ khác có sẵn để bán. Vụ kiện nhấn mạnh những rủi ro ngày càng tăng mà người dùng phải đối mặt trong bối cảnh địa chính trị và xã hội hiện tại, đặc biệt liên quan đến khả năng nhắm mục tiêu vào người Mỹ gốc Do Thái.
Ý nghĩa rộng hơn và các biện pháp phòng ngừa trong tương lai
Ramesh Srinivasan, giáo sư tại Đại học California, Los Angeles, cho rằng những vi phạm tương tự có thể sẽ tiếp tục diễn ra. Ông đặt ra câu hỏi các công ty sẽ ứng phó như thế nào: bằng cách thực hiện các biện pháp phòng ngừa nghiêm túc, chẳng hạn như tăng cường bảo mật và hạn chế lưu giữ dữ liệu, hoặc bằng cách áp dụng các biện pháp khắc phục hời hợt mà không giải quyết được các vấn đề cơ bản. Vụ vi phạm này như một lời nhắc nhở về mối nguy hiểm ngày càng tăng liên quan đến việc dữ liệu hóa ngày càng tăng về cuộc sống của con người.