ハッキング被害を受けた遺伝子検査ツールの23andMeがユーザーに責任をなすりつけている



遺伝子検査ツールの23andMeがハッキングにより690万人分の遺伝的データを盗まれた件で、23andMeはユーザーに責任をなすりつけようとしていることが明らかになりました。



遺伝子検査ツールの23andMeが、ハッキングにより690万人分の遺伝的データが漏えいしたと報告しました。690万人という数字は、23andMeの全ユーザーのほぼ半数に当たるそうです。



その後、23andMeはハッキング被害を受けた顧客が集団訴訟を起こすことが困難になるように、利用規約を変更しています。なお、それでも23andMeはハッキングによるデータ侵害の被害者から30件以上の訴訟を提起されています。



そんなハッキングによるデータ侵害の被害者を代理する弁護士のひとりであるハッサン・サヴァリー氏が、23andMeから訴訟に対する同社のスタンスを説明されたそうです。サヴァリー氏は海外メディアのTechCrunchに対して、「23andMeはデータセキュリティ災害における自社の責任を認めるのではなく、これらの出来事の深刻さを軽視し、顧客を見殺しにすることを決めたようです」と語りました。



23andMeは訴訟を提起するユーザーグループに対して、「過去のセキュリティインシデントの後、ユーザーはパスワードを不注意にリサイクルして更新しませんでした。これは23andMeとは無関係です。したがって、今回のセキュリティインシデントは23andMeが合理的なセキュリティ対策を行わなかったため起きたわけではありません」と説明し、データ漏洩の責任は自社にないと説明したそうです。





これに対して、サヴァリー氏は「23andMeは恥知らずにもデータ侵害の被害者を非難しています。これはナンセンスです。23andMeは多くの消費者が再利用されたパスワードを利用していることを知っていた、あるいは知っているべきでした。23andMeがプラットフォーム上に個人識別情報・健康情報・遺伝情報を保存していることを考えると、同社がクレデンシャルスタッフィング攻撃からデータを保護するためのセーフガードを実装すべきことは明らかです」と述べ、23andMeを批判しています。



さらに、サヴァリー氏は「今回のデータ侵害は、23andMeのDNA Relatives機能を通じてデータが流出した何百万人もの消費者に影響を与えました。しかし、このうちクレデンシャルスタッフィング攻撃によりデータ漏洩したアカウントはわずか数千件のみです。顧客を責めることで責任逃れしようとする23andMeの試みは、自分には何の落ち度もないのにデータが侵害された何百万人もの消費者にとって何の役にも立ちません」と語り、23andMeの対応を批判しました。



23andMeの返答に対して、被害者のひとりであるDante Termohs氏は「23andMeが顧客を支援する代わりに結果を隠蔽しようとするのは恐ろしいことです」と語っています。





また、23andMeは「データ漏洩した情報を何らかの悪事に利用することはできません。ブログで説明したように、データ漏洩した情報は顧客が作成して23andMeのプラットフォーム上で他ユーザーと共有することを選んだ情報です。これはDNA Relatives機能を介して他ユーザーと共有することを積極的に選択した場合にのみ共有される情報です。攻撃者が入手した可能性のある情報は、金銭的損害を引き起こすために使用された可能性はありません。なぜなら、データ漏洩した情報には社会保障番号・運転免許証番号・支払い情報・財務情報などは含まれていないためです」と述べ、データ漏洩した情報が悪用されることはないと主張しました。