מה עסקים יכולים ללמוד מתגובת ההפרה של 23andMe

15 פבואר 2024

תוכן עניינים:

1) מה קרה?
2) תגובת 23andMe
3) יום רע ליחסי ציבור
4) שישה שלבים לתגובה טובה יותר לאירועים

כל מנהיג עסק ו-IT מפחד מהיום שבו הם ייאלצו להגיב לפרצת מידע חמורה. לאלו האומללים לחוות אירוע שכזה, יש להקפיד על מערך פרוטוקולים ותהליכים מתוכננים היטב עליהם יעבדו כחלק מתוכנית התגובה שלהם לאירוע. אבל אפילו זה לא יכול להפחית את מה שיבוא אחר כך.

פרצה לאחרונה בחברת בדיקות ה-DNA 23andMe מציעה כמה תובנה מעניינת מדוע ניהול מוניטין ותקשורת משברים צריכים להיות חלק מרכזי בתגובה לאירועים.

מה קרה?

הראשון שלקוחות שמעו על ההפרה היה באוקטובר, כאשר חברת הביוטק שבסיסה בסן פרנסיסקו חשפה שהיא חוקרת טענות לפיהן האקרים התפשרו על נפח גדול של נתוני משתמשים. לפחות שחקן איום אחד חיפש באופן פעיל למכור את מה שלטענתו הוא אוסף של 300TB של נתוני משתמשים מאז אוגוסט. מיליוני תקליטים הועלו כנראה למכירה ברשת האפלה.

It מאוחר יותר התברר כי האקרים פרצו בתחילה את החשבונות של כ-0.1% מבסיס הלקוחות שלה, או 14,000 לקוחות, באמצעות טכניקת "מילוי אישורים" קלאסית. במילים אחרות, הם השיגו אישורים שהלקוחות עשו בהם שימוש חוזר במספר חשבונות והשתמשו בהם כדי לפתוח את פרופילי ה-23andMe שלהם.

"באמצעות הגישה הזו לחשבונות הממולאים, שחקן האיום ניגש גם למספר לא מבוטל של קבצים המכילים מידע פרופיל על מוצאם של משתמשים אחרים שמשתמשים כאלה בחרו לשתף כשהם בוחרים בתכונת ה-DNA Relatives של 23andMe ופרסמו מידע מסוים באינטרנט", המשרד המשיך.

23andMe מאוחר יותר מאושר כי סך של 6.9 מיליון אנשים הושפעו. במילים אחרות, על ידי פגיעה בחשבון אחד באמצעות מילוי אישורים, ההאקר הצליח לגשת לנתונים על אותו משתמש וקרוביו, מה שהגדיל מאוד את היקף ההפרה.

עבור רוב הקורבנות, הנתונים הגנובים כללו את שמם, שנת לידתם, תוויות מערכת היחסים, אחוז ה-DNA המשותף עם קרובי משפחה, דיווחי אבות ומיקום דיווח עצמי. אולי באופן לא מפתיע, האירוע הזה הוליד עשרות תביעות ייצוגיות.

תגובת 23andMe

זה המקום שבו הדברים מתחילים להיות יותר שנויים במחלוקת. מכתב נראה כי נשלחו על ידי עורכי הדין של 23andMe לנפגעי הפרה ב-11 בדצמבר מאשימים את האחרונים בהפרה. ראשית, היא טוענת כי "משתמשים מיחזרו ברשלנות ולא הצליחו לעדכן את הסיסמאות שלהם" בעקבות הפרות קודמות; מה שמאפשר את התקפות מילוי האישורים.

"לכן, האירוע לא היה תוצאה של כישלון לכאורה של 23andMe לשמור על אמצעי אבטחה סבירים", מוסיף המכתב.

בהמשך טוענים עורכי הדין של המשרד כי גם אם אכן התרחשה הפרה, היא תוקנה. 23andMe איפס את כל הסיסמאות המושפעות וכעת מחייב את המשתמשים להשתמש באימות דו-גורמי (2FA) בעת הכניסה.

לבסוף, הם טוענים שכל מידע אליו ניגשו האקרים "לא יכול לשמש לכל נזק".

"לא ניתן היה להשתמש במידע שהשחקן הבלתי מורשה השיג על תובעים כדי לגרום לנזק כספי (הוא לא כלל את מספר תעודת זהות, מספר רישיון נהיגה או כל תשלום או מידע כספי)", מציינים במכתב.

מומחים לא כל כך בטוחים. מנכ"ל CyberSmart, ג'יימי אחטאר, טוען שהטיעון הזה "אינו מעוגן במציאות של איומי סייבר מודרניים".

"נתונים כאלה יכולים לשמש בקלות פושעי סייבר כדי להשיק קמפיינים של הנדסה חברתית או אפילו כדי לקבל גישה לשירותים פיננסיים של אדם", הוא אומר ל-ISMS.online. "אנשים רבים משתמשים בשם הנעורים של אמא כשאלת אבטחה נוספת."

ישנם גם סימני שאלה לגבי ההחלטה להציג את קורבנות ההפרה כאשמים בלבד באירוע. גם אם 0.1% שחשבונותיהם נפגעו על ידי מילוי אישורים הם אשמים חלקית, לאותם מיליונים שמידע ה-DNA שלהם נגרד לאחר מכן, אין שום תיק לענות, טוענים עורכי הדין של הנאשמים.

"הניסיון של 23andMe להתנער מאחריות על ידי האשמת לקוחותיה אינו עושה דבר למיליוני הצרכנים הללו שהנתונים שלהם נפגעו ללא אשמתם כל שהיא." טוען חסן זוואריי, אחד מעורכי הדין המייצגים את הקורבנות הללו.

"23andMe ידעה או הייתה צריכה לדעת שצרכנים רבים משתמשים בסיסמאות ממוחזרות ולפיכך ש-23andMe הייתה צריכה ליישם כמה מאמצעי ההגנה הרבים הזמינים כדי להגן מפני מילוי אישורים - במיוחד בהתחשב בכך ש-23andMe מאחסנת מידע מזהה אישי, מידע בריאותי ומידע גנטי בפלטפורמה שלה. ."

אמצעים אלה יכלו לכלול 2FA חובה לכניסה, משהו שהחברה הציגה לאחר מכן. דרך פוטנציאלית נוספת לצמצם פגיעה בחשבון הלקוח היא להפעיל בדיקות מול מסדי נתונים של אישורים שנפרצו בעבר, כגון באמצעות API עבור HaveIBeenPwned? אֲתַר.

יום רע ליחסי ציבור

כל אלה ממחישים מדוע תקשורת משבר קפדנית וניהול מוניטין צריכים להיות חלק מתהליכי התגובה לאירועים של הארגון שלך. לפי IBM, עלות העסקים האבודים - הכוללת את העלות של לקוחות אבודים ורכישת לקוחות חדשים, כמו גם הפסדי מוניטין וירידה במוניטין - מייצגת כמעט שליש (29%) מהעלות הממוצעת של פרצת נתונים.

איבון אסנקזי, מייסדת שותפה של סוכנות יחסי הציבור האבטחה Eskenzi PR, טוענת כי המכתב של 23andMe נבנה ככל הנראה על ידי המחלקה המשפטית שלה, אך מסתכן בהכעיס לקוחות ולתדלק תגובה פופולרית נגד החברה.

"הצהרת הפרה לעולם לא צריכה להיות החדשות", היא אומרת ל-ISMS.online.

"הפרות מופיעות בחדשות מדי יום. עם זאת, ההצהרות הן בדרך כלל כל כך ארציות שהן אינן מופיעות כנקודת דיבור. הם צריכים להיות עובדתיים ולהיעזר על ידי עיתונאים ולקוחות לצורך מידע, לא ספקולציות. הדגש את מה שנעשה ומה לקוחות יכולים לעשות, במקום להדגיש את השליליות".

שישה שלבים לתגובה טובה יותר לאירועים

תקני אבטחת סייבר לשיטות עבודה מומלצות כמו ISO 27001 יכול לעזור לארגון שלך לתכנן וליישם תוכניות מקיפות לניהול אירועים. אבל תמיד יש מקום לשיפור.

הנה כמה טיפים מאת Eskenzi:

⦁ הצבת תוכנית תקשורת משבר: היא צריכה לכלול את פרטי ההתקשרות של מחזיקי עניין מרכזיים ומה הם יפקחו, הדרכה לעובדים ותוכניות לניטור ערוצי חברתיים, מדיה ולקוחות
⦁ ערכו סימולציות משבר עם צד שלישי: הם יספקו משוב ויעזרו להקדים בעיות
⦁ הימנע מהאשמת קורבנות: לאחר הפרה, עליך לבחון את נוהלי האבטחה וליישם צעדים כדי למנוע מאירוע דומה להתרחש שוב, ולאחר מכן למסור זאת
⦁ ודא שכל התקשורת הפונה לציבור היא עובדתית, אינפורמטיבית ובזמן: הימנע מהספקולציות, תאר אילו צעדים ננקטים כדי למנוע מהפרה להתרחש שוב, וספק עצות מעשיות כיצד הצדדים המושפעים יכולים להגן על עצמם
⦁ אל תימנע מלהתנצל: התנצלויות כנות ופעולה משמעותית יכולות להפגין אמפתיה, להחזיר אמון ולשפר את תפיסת המותג
⦁ ודא שמחלקות התקשורת מובילות בכל התקשורת החיצונית: יש להגביל את הקלט המשפטי לבדיקת הפלט שלהן, ולא להיפך

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 15 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר