וואָס געשעפטן קענען לערנען פֿון 23andMe ס בריטש ענטפער

יעדער געשעפט און עס פירער איז דערשראָקן פון דעם טאָג זיי זענען געצווונגען צו ריספּאַנד צו אַ ערנסט דאַטן בריטש. יענע וואָס זענען נעבעך צו דערפאַרונג אַזאַ אַן אינצידענט זאָל האָבן אַ געזונט-ריכערד גאַנג פון פּראָטאָקאָלס און פּראַסעסאַז צו אַרבעטן דורך ווי אַ טייל פון זייער אינצידענט ענטפער פּלאַן. אבער אפילו דאָס קען נישט פאַרמינערן וואָס קומט ווייַטער.

א לעצטע בריטש ביי דנאַ טעסטינג פירמע 23andMe אָפפערס עטלעכע טשיקאַווע ינסייט וועגן וואָס שעם פאַרוואַלטונג און קריזיס קאַמישאַנז זאָל זיין אַ האַרץ טייל פון אינצידענט ענטפער.

וואָס געטראפן?

דער ערשטער אַז קאַסטאַמערז געהערט פון די בריטש איז געווען אין אקטאבער, ווען די סאַן פראַנסיסקאָ-באזירט ביאָטעטש פירמע אנטפלעקט עס איז געווען ינוועסטאַגייטינג קליימז אַז כאַקערז האָבן קאַמפּראַמייזד אַ גרויס באַנד פון באַניצער דאַטן. אין מינדסטער איין סאַקאָנע אַקטיאָר האט אַקטיוולי געזוכט צו פאַרקויפן וואָס עס קליימד צו זיין אַ פּלאַץ פון 300 טב פון באַניצער דאַטן זינט אויגוסט. מיליאַנז פון רעקאָרדס זענען משמעות שטעלן פֿאַר פאַרקויף אויף די טונקל וועב.

It שפעטע ר אי ז פארגעקומע ן אַז כאַקערז טכילעס בריטשט די אַקאַונץ פון אַרום 0.1% פון זיין קונה באַזע, אָדער 14,000 קאַסטאַמערז, דורך אַ קלאַסיש "קרעדענשאַל סטאַפינג" טעכניק. אין אנדערע ווערטער, זיי באקומען קראַדענטשאַלז וואָס די קאַסטאַמערז האָבן ריוזד אַריבער קייפל אַקאַונץ און געוויינט זיי צו ופשליסן זייער 23andMe פּראָופיילז.

"ניצן דעם אַקסעס צו די קרעדענשאַל סטאַפט אַקאַונץ, דער סאַקאָנע אַקטיאָר אויך אַקסעסט אַ באַטייטיק נומער פון טעקעס מיט פּראָפיל אינפֿאָרמאַציע וועגן אנדערע יוזערז 'אוימען וואָס אַזאַ יוזערז האָבן אויסדערוויילט צו טיילן ווען אַפּט אין 23andMe ס DNA Relatives שטריך און אַרייַנגעשיקט זיכער אינפֿאָרמאַציע אָנליין," פעסט געצויגן.

קסנומקסאַנדמע שפּעטער באשטעטיקט אַז אַ גאַנץ פון 6.9 מיליאָן מענטשן זענען ימפּאַקטיד. אין אנדערע ווערטער, דורך קאַמפּראַמייזינג איין חשבון דורך קראַדענטשאַל סטאַפינג, דער העקער איז ביכולת צו אַקסעס דאַטן אויף דעם באַניצער און זייער קרובים, און זייער ינקריסינג די פאַרנעם פון די בריטש.

פֿאַר רובֿ וויקטימס, די סטאָלען דאַטן אַרייַנגערעכנט זייער נאָמען, געבורט יאָר, שייכות לאַבעלס, פּראָצענט פון דנאַ שערד מיט קרובים, אַנסעסטרי ריפּאָרץ און זיך-רעפּאָרטעד אָרט. טאָמער ניט סאַפּרייזינגלי, דעם אינצידענט האָט געפֿירט דאַזאַנז פון קלאַס קאַמף לאָסוץ.

23 און מיר ס ענטפער

דאָס איז ווו די זאכן אָנהייבן צו ווערן מער קאָנטראָווערסיאַל. א בריוו געשיקט דורך 23andMe ס אַדוואָקאַטז צו בריטש וויקטימס אויף דעצעמבער 11 סימז צו באַשולדיקן די יענער פֿאַר די בריטש. ערשטער, עס קליימז אַז "ניצערס נעגלאַדזשאַנטלי ריסייקאַלד און ניט אַנדערש צו דערהייַנטיקן זייער פּאַסווערדז" נאָך פאַרגאַנגענהייט בריטשיז; ענייבאַלינג די קראַדענטשאַל סטאַפינג אנפאלן.

"דעריבער, דער אינצידענט איז נישט געווען אַ רעזולטאַט פון 23andMe ס אַלעדזשד דורכפאַל צו האַלטן גלייַך זיכערהייט מיטלען," דער בריוו צוגעגעבן.

ווייטער טענהן די אדוואקאטן פון די פירמע, אז אפילו אויב עס איז פאסירט געווארן א פארלעזונג, איז דאס אויסגעשטעלט געווארן. 23andMe באַשטעטיק אַלע אַפעקטאַד פּאַסווערדז און איצט מאַנדייץ אַז יוזערז נוצן צוויי-פאַקטאָר אָטענטאַקיישאַן (2FA) ווען לאָגינג אין.

צום סוף, זיי טענהן אַז קיין אינפֿאָרמאַציע אַקסעסט דורך כאַקערז "קענען ניט זיין געוויינט פֿאַר קיין שאָדן".

"די אינפֿאָרמאַציע וואָס דער אַנאָטערייזד אַקטיאָר פּאַטענטשאַלי באקומען וועגן קלייאַנץ קען נישט זיין געוויינט צו פאַרשאַפן געלטיק שאָדן (עס האט נישט אַרייַנגערעכנט זייער סאציאל סעקוריטי נומער, דרייווער'ס דערלויבעניש נומער, אָדער קיין צאָלונג אָדער פינאַנציעל אינפֿאָרמאַציע)," דער בריוו הערות.

עקספּערץ זענען נישט אַזוי זיכער. CyberSmart סעאָ, Jamie Akhtar, קליימז אַז דעם אַרגומענט "איז נישט גראָונדעד אין דער פאַקט פון מאָדערן סייבער טרעץ".

"אַזאַ דאַטע קען לייכט זיין געוויינט דורך סייבער-קרימאַנאַלז צו קאַטער געזעלשאַפטלעך ינזשעניעריע קאַמפּיינז אָדער אפילו צו באַקומען אַקסעס צו אַ יחיד ס פינאַנציעל באַדינונגס," ער דערציילט ISMS.online. "פילע מענטשן נוצן מאַמעס מיידל נאָמען ווי אַן נאָך זיכערהייט קשיא."

עס זענען אויך קשיא מאַרקס איבער די באַשלוס צו שילדערן די בריטש וויקטימס ווי בלויז צו באַשולדיקן פֿאַר דעם אינצידענט. אפילו אויב די 0.1% וועמענס אַקאַונץ זענען קאַמפּראַמייזד דורך קראַדענטשאַל סטאַפינג זענען טייל שולדיק, די מיליאַנז וואָס האָבן זייער דנאַ אינפֿאָרמאַציע דערנאָך סקרייפּט האָבן קיין פאַל צו ענטפֿערן, חכמים פֿאַר די דיפענדאַנץ פאָדערן.

"23andMe 'ס פּרווון צו אַרויסטרייַבן פֿאַראַנטוואָרטלעכקייט דורך באַשולדיקן איר קאַסטאַמערז טוט גאָרנישט פֿאַר די מיליאַנז פון קאָנסומערס וועמענס דאַטן זענען קאַמפּראַמייזד אָן קיין שולד פון זייער אייגן," טענהט חסן זאווארעי, איינער פון די אַדוואָקאַטז וואָס רעפּריזענטינג די וויקטימס.

"23andMe געוואוסט אָדער זאָל האָבן געוואוסט אַז פילע קאָנסומערס נוצן ריסייקאַלד פּאַסווערדז און אַזוי אַז 23andMe זאָל האָבן ימפּלאַמענאַד עטלעכע פון ​​​​די פילע סייפגאַרדז בנימצא צו באַשיצן קעגן קראַדענטשאַל סטאַפינג - ספּעציעל קאַנסידערינג אַז 23andMe סטאָרז פערזענלעכע יידענטאַפייינג אינפֿאָרמאַציע, געזונט אינפֿאָרמאַציע און גענעטיק אינפֿאָרמאַציע אויף זיין פּלאַטפאָרמע. ."

די מיטלען קען האָבן אַרייַנגערעכנט מאַנדאַטאָרי 2FA פֿאַר לאָגינג, עפּעס וואָס די פירמע דערנאָך באַקענענ. אן אנדער פּאָטענציעל וועג צו פאַרמינערן קונה חשבון קאָמפּראָמיס איז צו לויפן טשעקס קעגן דאַטאַבייסיז פון פריער בריטשט קראַדענטשאַלז, אַזאַ ווי דורך אַן אַפּי פֿאַר די HaveIBeenPwned? פּלאַץ.

א שלעכט טאָג פֿאַר פּר

אַלע וואָס ילאַסטרייץ וואָס שטרענג קריזיס קאַמישאַנז און שעם פאַרוואַלטונג זאָל זיין אַ טייל פון דיין אָרגאַניזאַציע ס אינצידענט ענטפער פּראַסעסאַז. לויט IBM, די קאָס פון פאַרפאַלן געשעפט - וואָס כולל די קאָס פון פאַרפאַלן קאַסטאַמערז און אַקוויירינג נייַ קאַסטאַמערז, ווי געזונט ווי שעם לאָססעס און דימינישט גודוויל - רעפּראַזענץ קימאַט אַ דריט (29%) פון די דורכשניטלעך פּרייַז פון אַ דאַטן בריטש.

Yvonne Eskenzi, מיט-גרינדער פון זיכערהייט פּר אַגענטור Eskenzi PR, טענהט אז דער בריוו פון 23andMe איז מסתּמא געטריבן געוואָרן דורך איר לעגאַלע אָפּטיילונג, אָבער עס איז ריזיקאַליש צו כעס קאַסטאַמערז און ברענגען אַ פאָלקס באַקלאַש קעגן די פירמע.

"א בריטש ויסזאָגונג זאָל קיינמאָל זיין די נייַעס," זי דערציילט ISMS.online.

"בריטשאַז דערשייַנען אין די נייַעס יעדער טאָג. אָבער, די סטייטמאַנץ זענען יוזשאַוואַלי אַזוי מאַנדיין אַז זיי טאָן ניט דערשייַנען ווי אַ רעדן פונט. זיי זאָל זיין פאַקטואַל און געצויגן דורך פובליציסטן און קאַסטאַמערז פֿאַר אינפֿאָרמאַציע, נישט ספּעקולאַציע. הויכפּונקט וואָס איז געטאן און וואָס קאַסטאַמערז קענען טאָן, אלא ווי אַקצענטירן די נעגאַטיוועס.

זעקס סטעפּס צו בעסער אינצידענט ענטפער קאָממס

בעסטער פיר סייבערסעקוריטי סטאַנדאַרדס ווי ISO 27001 קענען העלפֿן דיין אָרגאַניזאַציע צו פּלאַן און ינסטרומענט פולשטענדיק אינצידענט פאַרוואַלטונג מגילה. אבער עס איז שטענדיק פּלאַץ פֿאַר פֿאַרבעסערונג.

דאָ זענען עטלעכע עצות פון Eskenzi:

⦁ שטעלן אַ קריזיס קאָממס פּלאַן אין פּלאַץ: עס זאָל אַרייַננעמען די קאָנטאַקט דעטאַילס פון שליסל סטייקכאָולדערז און וואָס זיי וועלן אָוווערסי, גיידאַנס פֿאַר עמפּלוייז און פּלאַנז פֿאַר מאָניטאָרינג געזעלשאַפטלעך, מידיאַ און קונה טשאַנאַלז
⦁ אָנפירן קריזיס סימיאַליישאַנז מיט אַ דריט פּאַרטיי: זיי וועלן צושטעלן באַמערקונגען און הילף צו פאַרהיטן ישוז
⦁ ויסמיידן באַשולדיקן וויקטימס: נאָך בריטש, איר זאָל אַנשטאָט ונטערזוכן זיכערהייט פּראַקטיסיז און ינסטרומענט סטעפּס צו פאַרמייַדן אַ ענלעך אינצידענט פון געשעעניש ווידער, און דערנאָך יבערגעבן דעם
⦁ פאַרזיכערן אַז אַלע ציבור-פייסינג קאָמוניקאַציע איז פאַקטשואַל, ינפאָרמאַטיוו און בייַצייַטיק: ויסמיידן ספּעקולאַציע, באַשרייַבן וואָס סטעפּס זענען גענומען צו ויסמיידן אַ בריטש, און צושטעלן פּראַקטיש עצה וועגן ווי ימפּאַקטיד פּאַרטיעס קענען באַשיצן זיך
⦁ צי ניט שעמעוודיק אַוועק פון אַנטשולדיקן: אָפנהאַרציק אַנטשולדיקן און מינינגפאַל קאַמף קענען באַווייַזן עמפּאַטי, ומקערן צוטרוי און פֿאַרבעסערן סאָרט מערקונג
⦁ פאַרזיכערן קאָמוניקאַציע דיפּאַרטמאַנץ פירן אויף אַלע פונדרויסנדיק קאָממס: לעגאַל אַרייַנשרייַב זאָל זיין לימיטעד צו ריוויוינג זייער פּראָדוקציע, נישט די אנדערע וועג אַרום