基因检测公司23andMe将2023年底遭受的数据泄露归咎于其客户。
据TechCrunch报道,该公司向一组受害者发送了一封信,声称这些用户“在过去发生与23andMe无关的安全事件后,疏忽回收并未能更新密码”。
“因此,该事件并非23andMe据称未能维持合理安全措施的结果,”信中写道。
2023年12月下旬,黑客通过暴力破解方式成功侵入了大约14,000个23andMe账户,其中涉及尝试数百万个用户名/密码组合,包括从其他地方的先前违规行为中获得的用户名/密码组合。然而,其中一些帐户选择了该公司的DNA亲属功能,该功能使黑客能够访问属于690万用户的个人数据。
尽管受害者人数达数百万,但该公司声称被盗数据不能被滥用:“可能被访问的信息不能用于任何伤害。正如2023年10月6日的博客文章中所解释的,可能被访问的个人资料信息与DNA亲属功能相关,该功能是客户创建并选择与23andMe平台上的其他用户共享的。只有当原告明确选择通过DNA亲属功能与其他用户分享这些信息时,这些信息才会可用。”
信中还指出:“此外,未经授权的行为者可能获得的有关原告的信息不可能用于造成金钱损失(其中不包括他们的社会安全号码、驾驶执照号码或任何付款或财务信息)”。
TechCrunch称,23andMe将一些用户称为原告,因为该公司正面临30多起与违规行为相关的诉讼。一位代表受害者的律师告诉该刊物,该公司的行为是“无耻的”: