加拿大和英国的隐私保护机构已展开联合调查,以评估去年 23andMe 数据泄露事件中暴露的客户敏感信息的范围。加拿大隐私专员和信息专员办公室(ICO)也将调查该公司是否有足够的保障措施来保护存储在其系统中的客户数据。
联合调查还将审查 23andMe 是否按照加拿大和英国隐私和数据保护法律的要求,提醒受影响的个人和隐私监管机构。
"如果落入坏人之手,个人的基因信息可能会被滥用于监视或歧视。"加拿大隐私专员 Philippe Dufresne说:"确保个人信息得到充分保护,免受恶意攻击,是加拿大和世界各地隐私保护机构的重要关注点。"
英国信息专员约翰-爱德华兹(John Edwards)补充说:"人们需要相信,任何处理其最敏感个人信息的机构都有适当的安全保障措施。"这次数据泄露事件具有国际影响,我们期待着与加拿大同行合作,确保英国民众的个人信息得到保护"。
今年 1 月,基因测试提供商 23andMe 证实,攻击者在 4 月 29 日至 9 月 27 日为期 5 个月的凭证充塞攻击中窃取了受影响客户的健康报告和原始基因型数据。
攻击者利用从其他数据泄露事件或网络平台泄露事件中窃取的凭证入侵了 23andMe 账户。
在 10 月 10 日检测到攻击后,23andMe 开始要求所有客户重置密码。自 11 月 6 日起,所有新客户和现有客户都默认启用了双因素身份验证。
该公司在发给受影响个人的数据泄露通知函中披露,一些被盗数据被发布在 BreachForums 黑客论坛和非官方的 23andMe subreddit 上。
23andMe 客户数据泄露(BleepingComputer)
泄露的信息包括居住在英国的 410 万人和100 万阿什肯纳兹犹太人的数据。
23andMe在去年12月披露,威胁行为者在入侵约 14000 个用户账户后,下载了 1400 万客户中 690 万客户的数据。
约有 550 万人通过 DNA 亲属功能采集了数据,140 万人通过家谱功能采集了数据。
由于这一事件,23andMe 遭到了多起诉讼,促使该公司于 11 月 30 日更新了使用条款,使客户更难加入集体诉讼。
不过,23andMe 表示,做出这些改变是为了提高仲裁程序的效率,让客户更容易理解。