23andMe, di fronte a più di 30 cause legali da parte delle vittime di una massiccia violazione dei dati, sta ora deviando la colpa sulle vittime stesse nel tentativo di liberarsi da ogni responsabilità. La società ha ammesso a dicembre che gli hacker avevano rubato i dati genetici e di ascendenza di 6,9 milioni di utenti, quasi la metà di tutti i suoi clienti.
Dettagli della Violazione dei Dati
La violazione dei dati è iniziata con i criminali che hanno avuto accesso a circa 14.000 account utente. Gli hacker hanno violato questo primo gruppo di vittime utilizzando una tecnica nota come “credential stuffing”, ovvero forzando gli account con password già associate ai clienti mirati. Da questi 14.000 iniziali, gli hacker sono stati poi in grado di accedere ai dati personali degli altri 6,9 milioni di vittime perché avevano optato per la funzione “DNA Relatives” di 23andMe. Questa funzione opzionale consente ai clienti di condividere automaticamente alcuni dei loro dati con persone considerate loro parenti sulla piattaforma.
La Risposta di 23andMe
In una lettera inviata a un gruppo di centinaia di utenti 23andMe che ora stanno facendo causa all’azienda, 23andMe ha affermato che “gli utenti hanno riciclato negligentemente e non hanno aggiornato le loro password dopo questi incidenti di sicurezza passati, che non sono correlati a 23andMe”. L’azienda sostiene quindi che l’incidente non sia stato il risultato di un presunto fallimento di 23andMe nel mantenere misure di sicurezza ragionevoli.
Reazioni e Implicazioni Legali
Hassan Zavareei, uno degli avvocati che rappresentano le vittime, ha dichiarato che 23andMe sta incolpando “senza vergogna” le vittime della violazione dei dati. Secondo Zavareei, 23andMe sapeva o avrebbe dovuto sapere che molti consumatori utilizzano password riciclate e quindi avrebbe dovuto implementare alcune delle molte salvaguardie disponibili per proteggere contro il credential stuffing. La violazione ha colpito milioni di consumatori i cui dati sono stati esposti attraverso la funzione DNA Relatives su 23andMe, non perché hanno utilizzato password riciclate.
La risposta di 23andMe alla violazione dei dati e il tentativo di incolpare le vittime sollevano questioni significative sulla responsabilità aziendale e la protezione dei dati dei consumatori. Mentre la situazione legale si evolve, rimane chiaro che la gestione delle violazioni dei dati e la sicurezza informatica rimangono questioni cruciali per le aziende e i loro clienti.