حصل المتسللون على بيانات ما يقرب من 7 ملايين شخص من 23andMe. ألقت الشركة باللوم على المستخدمين في خطوة “غبية جدًا” | القرصنة

تقبل ثلاث سنوات، قرر رجل في فلوريدا يُدعى جيه إل، لمجرد نزوة، إرسال أنبوب من بصاقه إلى موقع الاختبارات الجينية 23andMe مقابل الحصول على تقرير السلالة. يقول JL، مثل الملايين من المشاركين الآخرين في 23andMe من قبله، إنه كان يُسأل كثيرًا عن أصله العرقي ويتوق إلى الحصول على نظرة أعمق لهويته. وقال إنه فوجئ بتنوع نتائج اختباره، التي أظهرت أنه يحمل بعض التراث اليهودي الأشكنازي.

قال JL إنه لم يفكر كثيرًا في النتائج حتى علم بـ اختراق كبير في الشركة أدى إلى كشف بيانات ما يقرب من 7 ملايين شخص، حوالي نصف عملاء الشركة. والأسوأ من ذلك أنه علم لاحقًا بوجود متسلل يستخدم الاسم المستعار “جولم” والذي قام عرضت بيع الأسماء والعناوين والتراث الجيني يقال إنهم ينتمون إلى مليون عميل من عملاء 23andMe من ذوي التراث اليهودي الأشكنازي المماثل في منتدى غامض على شبكة الإنترنت المظلمة. فجأة، شعر ج.ل بالقلق من أن قراره المتهور بتصنيف جيناته يمكن أن يعرضه هو وعائلته للخطر.

وقال: “لم أكن أعلم أن عائلتي ستكون هدفاً محتملاً”. ربما أكون قد عرضت نفسي وعائلتي للخطر بسبب شيء فعلته بدافع الفضول أكثر من أي شيء آخر.

JL، الذي طلب عدم ذكر اسمه إلا بالأحرف الأولى من اسمه بسبب مشكلات الخصوصية المستمرة، هو واحد من اثنين من المدعين المدرجين في دعوى جماعية حديثة مرفوعة في كاليفورنيا ضد 23andMe. يزعم المدعون أن الشركة فشلت في إخطار مستخدمي التراث اليهودي والصيني بشكل مناسب بعد استهدافهم المزعوم. وتزعم الدعوى القضائية أن المتسللين وضعوا هؤلاء المستخدمين في “قوائم منسقة خصيصًا” كان من الممكن بيعها لأفراد يتطلعون إلى إلحاق الأذى.

وأكدت شركة 23andMe منذ ذلك الحين أن المتسللين تمكنوا من الوصول إلى 14000 حساب مستخدم على مدار خمسة أشهر في العام الماضي، بعضها كشفت تقارير مفصلة وحساسة عن صحة المستخدمين. وكشفت الشركة عن تفاصيل حول الأنواع الدقيقة من البيانات المسروقة خلال الاختراق الذي دام أشهرًا في بيانات شهر يناير تم إرسال خطاب إشعار الانتهاك إلى المدعي العام في كاليفورنيا في وقت سابق من الشهر الماضي. تمكن المتسللون من الوصول إلى “بيانات النمط الجيني الخام غير المنقطعة” للمستخدمين وغيرها من المعلومات الحساسة للغاية، مثل تقارير الاستعداد الصحي وتقارير حالة الناقل المستمدة من معالجة المعلومات الجينية للمستخدم. والأسوأ من ذلك، أن شركة 23andMe أكدت أن اللصوص تمكنوا أيضًا من الوصول إلى معلومات شخصية أخرى لما يصل إلى 5.5 مليون شخص اختاروا ميزة تتيح لهم العثور على أقاربهم الجينيين والتواصل معهم.

23andMe فقط اعترف علنا هجمات المتسللين بعد أن نشر أحد المستخدمين بيانات معروضة للبيع على موقع 23andMe الفرعي في أوائل أكتوبر. وكشف تحقيق في الحادثة أن المتسللين كانوا يحاولون بالفعل، بنجاح في بعض الأحيان، الوصول إلى البيانات منذ أبريل 2023 على الأقل. واستمرت الهجمات لمدة خمسة أشهر تقريبًا حتى نهاية سبتمبر. في رسالة بريد إلكتروني أُرسلت إلى صحيفة الغارديان، قال متحدث باسم 23andMe إن الشركة لم “تكتشف أي اختراق” داخل أنظمة 23andMe وبدلاً من ذلك أرجعت الحادث إلى اختراق بيانات اعتماد تسجيل الدخول المُعاد تدويرها من بعض المستخدمين.

كان لدى قسم فرعي أكبر بكثير من المستخدمين بيانات أخرى، ربما تكون أقل حساسية، مكشوفة من خلال الاشتراك في 23andMe ميزة أقارب الحمض النووي، والذي يتيح للشركة تلقائيًا مشاركة البيانات بين المستخدمين الآخرين على النظام الأساسي الذين قد يكونون مرتبطين بهم. بمعنى آخر، تمكن المتسللون الذين تمكنوا من الوصول إلى حساب المستخدم عبر كلمات المرور المخترقة من الحصول على بيانات حول الأقارب المحتملين. تمنح الميزة الاختيارية المستخدمين نظرة ثاقبة لمجموعة متنوعة من نقاط البيانات، بما في ذلك اسم أقاربهم، وعلاقتهم المتوقعة، ونسبة الحمض النووي المشترك مع المطابقات. يمكن أن يتضمن أيضًا تقريرًا عن النسب الفردي، ومطابقة شرائح الحمض النووي، والصور التي تم تحميلها.

وقال إيلي واد سكوت، أحد المحامين الذين يمثلون JL في الدعوى الجماعية، إن هذه المجموعات العرقية المزعومة يمكن أن ترقى إلى مستوى “قائمة اغتيالات”. وأعرب جاي إيدلسون، وهو محام آخر يمثل هؤلاء المستخدمين، عن قلقه من أن قوائم المستخدمين هذه قد تبدو جذابة للإرهابيين الذين يتطلعون إلى التعرف على الأشخاص من التراث اليهودي. وقال أيضا أن وكالات الاستخبارات الصينية، التي لها تاريخ مراقبة وترهيب المعارضين في الخارج، يمكن استخدام البيانات لاستهداف الأشخاص الذين ينتقدون الحكومة أو حتى الدول القومية.

وأضاف إيدلسون: “يعد هذا نقلة نوعية كاملة عندما يتعلق الأمر بالآثار المترتبة على اختراق البيانات”.

بعد أشهر من علمها بوجود الشاطئ لأول مرة، أرسلت شركة 23andMe رسالة رسالة إلى العديد من العملاء لاتخاذ إجراءات قانونية ضد الشركة. ودافعت الشركة عن نفسها بالقول إنه من غير الممكن أن يؤدي الاختراق إلى مشاكل في العالم الحقيقي: “لا يمكن استخدام المعلومات التي من المحتمل أن يتم الوصول إليها لإحداث أي ضرر”. كما ألقت باللوم في الاختراق على المستخدمين الذين “قاموا بإهمال” المعاد تدويرها وفشلوا في تحديث كلمات المرور الخاصة بهم. يشير متخصصو الأمن السيبراني إلى تسليح هذه المفاتيح الرقمية المتكررة باسم “حشو أوراق الاعتمادالهجمات.

وخلصت شركة 23andMe إلى أن “الحادث لم يكن نتيجة لفشل 23andMe المزعوم في الحفاظ على تدابير أمنية معقولة”.

لكن العديد من المحامين وخبراء الخصوصية الجينية يقولون إنه كان ينبغي على الشركة أن تتوقع مثل هذا الهجوم قادمًا وأن تفعل المزيد لحماية هذه البيانات الحميمة والحساسة للغاية. قال وايد سكوت: “لا ينبغي أن تكون قادرًا على القيام بهجوم كهذا على مدار أشهر دون أن يلاحظك أحد في 23andMe”.

وكانت باربرا برينساك، أستاذة السياسة المقارنة بجامعة فيينا، من عملاء شركة 23andMe. وقالت إن الشركة كان أمامها وقت طويل لحماية نفسها ووضع بروتوكولات لاختراق البيانات. 23 وقالت، يبدو أنني لم أفعل أيًا منهما: “هذه حالة نموذجية تقريبًا حول كيفية عدم القيام بالأشياء”.

وأضافت أن إلقاء اللوم على المستهلكين بسبب هفواتهم الأمنية البسيطة نسبياً هو أمر “غبي جداً أخلاقياً وسياسياً”.

مستخدمي 23andMe يبدو أن مقاضاة الشركة بتهمة الإهمال متفق عليها. ويقولون إنهم لم يكونوا ليشتروا أدوات الشركة أبدًا لو عرفوا مدى تراخي الأمن فيها. منذ الانتهاك، أكثر قام أكثر من عشرين من مستخدمي 23andMe برفع دعاوى قضائية فردية وجماعية واتهام الشركة بالإهمال وانتهاك الخصوصية. تختلف تفاصيل كل دعوى قضائية، لكن كل منها تقول إن الشركة فشلت في “تنفيذ والحفاظ على التدابير الأمنية الكافية”.

“كذبت شركة 23andMe على العملاء بشأن كيفية حماية بياناتهم، وفشلت في حماية بياناتهم بشكل معقول وفقًا لمعايير الصناعة، وكذبت بشأن نطاق الانتهاك وخطورته، وفشلت في إخطار عملائها اليهود والصينيين بأنهم مستهدفون على وجه التحديد”. وفي النهاية، عرّضهم لمجموعة من التهديدات والمخاطر التي لن يتوقعوا حدوثها أبدًا، كما جاء في بدلة JL.

تضيف فضيحة خرق البيانات البطيئة إهانة إلى الضرر الذي أصاب الشركة التي هبطت بشكل حاد من أعلى درجات استثنائية وادي السيليكون في السنوات الأخيرة. تم طرح الشركة للاكتتاب العام في عام 2021 بقيمة 3.5 مليار دولار. والآن تبلغ قيمتها نحو 300 مليون دولار، أي بانخفاض قدره 91%. لم تحقق شركة 23andMe أرباحًا مطلقًا خلال تاريخها الممتد لـ 18 عامًا. وربما تنفد أموالها بحلول عام 2025. وفي غضون سنوات قليلة فقط، تمكنت الشركة التي بدت ذات يوم من أن تصبح “الشركة”جوجل من البصاقتكافح من أجل البقاء في بورصة ناسداك على الرغم من المحاولات المتكررة من قبل المؤسس المشارك والرئيس التنفيذي آن وجسيكي لتهدئة مخاوف المستثمرين.

وقال الخبراء إن العواقب المترتبة على وصول المتسللين إلى البيانات الجينية المخترقة تظل افتراضية إلى حد كبير. ومع ذلك، فقد حذروا من أن أي جهة فاعلة سيئة مسلحة بهذا النوع من المعلومات والدافع الكافي يمكن أن تستخدمها لتحديد هوية شخص ما أو ابتزازه من خلال التهديد بالكشف عن معلومات أكثر حساسية. قد يؤدي الجمع المحتمل بين البيانات المستمدة من خرق 23andMe مع معلومات شخصية أخرى إلى عمليات احتيال معقدة في الهوية.

وقال مراد كانتارسي أوغلو، أستاذ علوم الكمبيوتر في جامعة تكساس في دالاس، إنه يمكن أن يتخيل سيناريو يمكن فيه لمهاجم مسلح ببيانات تربط فردًا بقريب لم يكن معروفًا من قبل أن يبتزهم من خلال التهديد بإعلان هذا الارتباط علنًا. وقال كانتارسيوغلو إن البيانات الأخرى التي تكشف عن تاريخ عائلة المستخدم مع مشاكل الصحة العقلية، يمكن أن يساء استخدامها من قبل صاحب العمل لتجاوز شخص يبحث عن وظيفة أو ترقية.

في وقت كتابة هذا التقرير، 23andMe يتطلب المصادقة الثنائية بشكل افتراضي لجميع مستخدميها. ولم يتم تمكين هذه الطبقة الإضافية من الأمان، والتي طالب بها المنتقدون لسنوات، إلا بشكل افتراضي بعد الاختراق. تقول 23andMe إنها طلبت أيضًا من جميع عملائها إعادة تعيين كلمات المرور الخاصة بهم بعد الحادث.

وما يزيد الأمر تعقيدًا هو أن الخبراء القانونيين يعتقدون أن شركة 23andMe قامت مؤخرًا بإجراء تغييرات طفيفة على شروط الخدمة الخاصة بها مما يجعل من الصعب على الضحايا الانضمام معًا متابعة دعاوى التحكيم الجماعيةحسبما أفاد موقع تك كرانش. وبحسب ما ورد جاءت هذه التغييرات قبل يومين فقط من كشف 23andMe رسميًا عن خرق البيانات. تنفي شركة 23andMe الاتهامات بأنها غيرت شروط الخدمة الخاصة بها لثني الدعاوى القضائية وقالت بدلاً من ذلك إنها أجرت التغييرات على جعل قرارات النزاعات تحدث بشكل أسرع.

قال متحدث باسم 23andMe في رسالة بالبريد الإلكتروني: “يواصل العملاء الاحتفاظ بالحق في طلب الانتصاف الزجري العام”.

«في منتصف الليل، هم [23andMe] قال إيدلسون: “لقد غيروا شروطهم للتلاعب بالنظام وجعل من المستحيل بشكل أساسي تقديم أي نوع من التحكيم الكبير”. ووصف دوج ماكنمارا، شريك كوهين ميلستيد، المناورة بأنها “محاولة يائسة للثني والردع عن رفع دعوى قضائية”. [23andMe]في ديسمبر مقابلة مع تك كرانش.

لقد مر ما يقرب من عام منذ أن حاول المتسللون لأول مرة الوصول إلى حسابات مستخدمي 23andMe، ولكن من المرجح أن المخاوف القانونية والتنظيمية للشركة بدأت للتو. وبصرف النظر عن الدعاوى القضائية المنتشرة، فإن المشرعين يتدخلون. في يناير، ممثل ولاية نيوجيرسي الديمقراطي جوش جوتهايمر كتب رسالة إلى مدير مكتب التحقيقات الفيدرالي كريستوفر راي وحث الوكالة على إطلاق تحقيق مع الشركة لتحديد ما إذا كان من الممكن استخدام البيانات المكشوفة لاستهداف المجتمعات اليهودية أم لا. جاء ذلك على في أعقاب رسالة مرسلة إلى 23andMe بواسطة المدعي العام في ولاية أريزونا كريس مايز للحصول على بيانات إضافية حول بروتوكولات الأمان الخاصة بالشركة.

ويخشى الخبراء أن تمتد الآثار المترتبة على اختراق 23andMe إلى ما هو أبعد من الشركة نفسها. يخشى براينساك أن القلق الناجم عن الاختراق قد يجعل الأشخاص أقل ميلاً إلى مشاركة البيانات الصحية الشخصية، ليس فقط مع 23andMe، ولكن مع الأطباء التقليديين أيضًا. وقد يؤدي انعدام الثقة إلى زيادة صعوبة علاج المرضى بشكل صحيح.

وقال كانتارسيوغلو، من جامعة تكساس، إن هذا على الأرجح لن يكون آخر خرق للبيانات من نوعه يؤثر على شركات الاختبارات الجينية. وقال إديلسون، محامي جيه إل: “لديك جماعات متطرفة تدعو إلى قتل اليهود في جميع أنحاء العالم، لذلك من الصعب أن نرى كيف يمكن أن تكون المخاطر أكبر”. “إن الطريقة التي يتم بها شراء وبيع المعلومات هي بمثابة Defcon One في عالم الخصوصية.”