تخبر شركة 23andMe الضحايا أن اختراق بياناتهم هو خطأهم
في مواجهة أكثر من 30 دعوى قضائية من ضحايا الاختراق الهائل للبيانات، تقوم 23andMe الآن بتحويل اللوم إلى الضحايا أنفسهم في محاولة لإعفاء نفسها من أي مسؤولية، وفقًا لرسالة مرسلة إلى مجموعة من الضحايا الذين شاهدتهم TechCrunch.
وقال حسن ظفاري، أحد المحامين الذين يمثلون الضحايا الذين تلقوا رسالة من 23andMe: “بدلاً من الاعتراف بدورها في كارثة أمن البيانات هذه، قررت 23andMe على ما يبدو ترك عملائها في حالة جفاف مع التقليل من خطورة هذه الأحداث”. TechCrunch في رسالة بريد إلكتروني.
وفي ديسمبر/كانون الأول، اعترفت شركة 23andMe بأن المتسللين سرقوا البيانات الوراثية وبيانات الأنساب لـ 6.9 مليون مستخدم، أي ما يقرب من نصف جميع عملائها.
بدأ خرق البيانات مع وصول المتسللين إلى حوالي 14000 حساب مستخدم فقط. اقتحم المتسللون هذه المجموعة الأولى من الضحايا عن طريق فرض حسابات بكلمات مرور معروفة بأنها مرتبطة بالعملاء المستهدفين، وهي تقنية تُعرف باسم حشو بيانات الاعتماد.
من بين هؤلاء الضحايا الأوليين البالغ عددهم 14000، تمكن المتسللون بعد ذلك من الوصول إلى البيانات الشخصية لـ 6.9 مليون ضحية آخرين لأنهم اشتركوا في ميزة DNA Relatives الخاصة بشركة 23andMe. تتيح هذه الميزة الاختيارية للعملاء مشاركة بعض بياناتهم تلقائيًا مع الأشخاص الذين يعتبرون أقاربهم على المنصة.
بمعنى آخر، من خلال اختراق حسابات 14000 عميل فقط، قام المتسللون لاحقًا بجمع البيانات الشخصية لـ 6.9 مليون عميل آخر لم يتم اختراق حساباتهم بشكل مباشر.
ولكن في رسالة أُرسلت إلى مجموعة من مئات مستخدمي 23andMe الذين يقاضون الشركة الآن، قالت 23andMe إن “المستخدمين قاموا بإهمال بإعادة تدوير كلمات المرور الخاصة بهم وفشلوا في تحديثها في أعقاب هذه الحوادث الأمنية الماضية، والتي لا علاقة لها بـ 23andMe”.
وجاء في الرسالة: “لذلك، لم يكن الحادث نتيجة لفشل 23andMe المزعوم في الحفاظ على إجراءات أمنية معقولة”.
وقال زافاري إن شركة 23andMe تلقي اللوم “بلا خجل” على ضحايا خرق البيانات.
“إن توجيه أصابع الاتهام هذا غير منطقي. كانت شركة 23andMe تعلم أو كان ينبغي لها أن تعلم أن العديد من المستهلكين يستخدمون كلمات مرور مُعاد تدويرها، وبالتالي كان ينبغي على 23andMe تنفيذ بعض الضمانات العديدة المتاحة للحماية من حشو بيانات الاعتماد – لا سيما بالنظر إلى أن 23andMe تخزن معلومات التعريف الشخصية والمعلومات الصحية والمعلومات الجينية على منصتها. “قال زافاري في رسالة بالبريد الإلكتروني.
“لقد أثر الاختراق على ملايين المستهلكين الذين تم الكشف عن بياناتهم من خلال ميزة DNA Relatives على منصة 23andMe، وليس لأنهم استخدموا كلمات مرور مُعاد تدويرها. من بين هذه الملايين، تم اختراق بضعة آلاف فقط من الحسابات بسبب حشو بيانات الاعتماد. وقال زافاري: “إن محاولة 23andMe للتهرب من المسؤولية من خلال إلقاء اللوم على عملائها لا تفعل شيئًا لهؤلاء الملايين من المستهلكين الذين تعرضت بياناتهم للخطر دون أي خطأ من جانبهم على الإطلاق”.
اتصل بنا
هل لديك المزيد من المعلومات حول حادثة 23andMe؟ نحن نحب أن نسمع منك. يمكنك الاتصال بـ Lorenzo Franceschi-Bicchierai بشكل آمن على Signal على الرقم +1 917 257 1382، أو عبر Telegram وKeybase وWire @lorenzofb، أو عبر البريد الإلكتروني lorenzo@techcrunch.com. يمكنك أيضًا الاتصال بـ TechCrunch عبر SecureDrop.
ردًا على رسالة 23andMe، قال Dante Termohs، أحد عملاء 23andMe الذي تأثر بخرق البيانات، لموقع TechCrunch إنه وجد “من المروع أن تحاول 23andMe الاختباء من العواقب بدلاً من مساعدة عملائها”.
وجادل محامو 23andMe بأن البيانات المسروقة لا يمكن استخدامها لإلحاق أضرار مالية بالضحايا.
“المعلومات التي من المحتمل أن يتم الوصول إليها لا يمكن استخدامها لأي ضرر. كما هو موضح في منشور المدونة بتاريخ 6 أكتوبر 2023، فإن معلومات الملف الشخصي التي ربما تم الوصول إليها تتعلق بميزة DNA Relatives، التي ينشئها العميل ويختار مشاركتها مع مستخدمين آخرين على منصة 23andMe. لن تكون هذه المعلومات متاحة إلا إذا اختار المدعون بشكل إيجابي مشاركة هذه المعلومات مع مستخدمين آخرين عبر ميزة DNA Relatives. بالإضافة إلى ذلك، فإن المعلومات التي من المحتمل أن يحصل عليها الممثل غير المصرح به عن المدعين لا يمكن استخدامها للتسبب في ضرر مالي (لم تتضمن رقم الضمان الاجتماعي أو رقم رخصة القيادة أو أي معلومات دفع أو معلومات مالية)”.
ولم تستجب شركة 23andMe وأحد محاميها لطلب TechCrunch للتعليق.
بعد الكشف عن الاختراق، قامت 23andMe بإعادة تعيين جميع كلمات مرور العملاء، ثم طلبت من جميع العملاء استخدام المصادقة متعددة العوامل، والتي كانت اختيارية فقط قبل الاختراق.
في محاولة لاستباق الدعاوى القضائية الجماعية التي لا مفر منها ومطالبات التحكيم الجماعي، قامت شركة 23andMe بتغيير شروط الخدمة الخاصة بها لتجعل من الصعب على الضحايا التجمع معًا عند رفع دعوى قانونية ضد الشركة. قال المحامون ذوو الخبرة في تمثيل ضحايا خرق البيانات لموقع TechCrunch إن التغييرات كانت “ساخرة” و”خدمة ذاتية” و”محاولة يائسة” لحماية نفسها وردع العملاء عن ملاحقة الشركة.
من الواضح أن التغييرات لم توقف ما أصبح الآن موجة من الدعاوى القضائية الجماعية.