23andMe 因基因数据泄露支付 3000 万美元和解金 admin 117460文章 95评论 2024年9月25日09:20:48评论7 views字数 984阅读3分16秒阅读模式 DNA 检测巨头 23andMe 已同意支付 3000 万美元,以和解因 2023 年 640 万客户个人信息泄露而引发的诉讼。 该集体诉讼和解协议草案于周四在旧金山联邦法院提交,正在等待司法批准。和解协议包括向受影响的客户支付现金,这些现金将在最终批准后十天内发放。 23andMe 在周五提交的备忘录中表示:“23andMe 认为该和解是公平、充分且合理的。” 23andMe 还同意加强其安全协议,包括针对凭证填充攻击的保护、对所有用户强制进行双因素身份验证以及年度网络安全审核。 公司还必须制定并维护数据泄露事件响应计划,并停止保留不活跃或停用帐户的个人数据。在年度培训期间,还将向所有员工提供更新的信息安全计划。 该公司在提交的初步和解协议中表示:“23andMe 否认诉状中提出的索赔和指控,否认未能妥善保护其消费者和用户的个人信息,并进一步否认和解集体代表要求法定损害赔偿的可行性。” “23andMe 否认有任何不当行为,且本协议在任何情况下均不得解释或视为 23andMe 对任何过错、责任、不当行为或损害索赔的证据或承认或让步。” 这项和解协议涉及了有关该基因检测公司未能保护用户隐私以及未告知客户黑客专门针对他们且他们的信息据称在暗网上出售的指控。 凭证填充攻击导致数据被盗 2023 年 10 月,23andMe透露,有人通过被盗账户未经授权访问客户资料。黑客利用从其他入侵事件中窃取的凭证访问了 23andMe 账户。 在发现漏洞后,该公司采取了措施阻止类似事件,包括要求客户重置密码并从 11 月开始默认启用双因素身份验证。 从 10 月份开始,威胁行为者 在非官方 23andMe subreddit 和 BreachForums 等黑客论坛上泄露了410 万英国人和100 万阿什肯纳兹犹太人的数据资料。 23andMe 去年 12 月向 BleepingComputer 透露,此次泄密事件共下载了 690 万客户的数据,其中包括 640 万美国居民的信息。 今年 1 月,该公司还 证实,攻击者从 4 月到 9 月为期 5 个月的凭证填充攻击中窃取了健康报告和原始基因型数据。 此次数据泄露事件引发了多起集体诉讼,迫使 23andMe于 2023 年 11 月修改了使用条款,此举遭到了客户的批评。该公司后来澄清说,这些变化旨在简化仲裁程序。 信息来源:BleepingComputer 原文始发于微信公众号(犀牛安全):23andMe 因基因数据泄露支付 3000 万美元和解金 点赞 https://cn-sec.com/archives/3204962.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论