英国数据保护监管机构因凭证填充攻击对23andMe处以约310万美元罚款

英国信息专员办公室(ICO)对基因检测公司23andMe处以231万英镑罚款,因其安全措施不足导致超过15.5万英国用户数据泄露。事件暴露了多因素认证缺失、弱密码策略等安全漏洞,凸显了生物数据保护的重要性。

英国数据保护监管机构因凭证填充攻击对23andMe处以约310万美元罚款

2025年6月5日,英国信息专员办公室(ICO)对23andMe处以231万英镑(约合310万美元)罚款。该罚款是由于该公司未能实施足够的安全措施来保护超过15.5万英国用户的个人数据。此次处罚是与加拿大隐私专员办公室联合调查的结果,突显了监管机构在调查数据保护法规违规行为时日益加强合作。

ICO的处罚通知可在此处查看。另见其最近对Advanced Computer Software Group和DPP Law因类似安全缺陷采取的行动。

什么是23andMe?

23andMe是一家总部位于美国的个人基因组学和生物技术公司。它提供直接面向消费者的基因检测服务。客户通过寄送唾液样本来获取关于祖先、健康风险和遗传特征的洞察。他们还可以访问健康报告并下载原始基因数据。该公司在全球拥有数百万用户,持有大量敏感的个人和基因数据。

该公司最近进入了破产程序,但美国破产法院最近批准将其资产出售给由23andMe创始人和前首席执行官领导的一个非营利组织。

发生了什么?

2023年,23andMe遭遇了一起持续数月的网络安全漏洞,从4月到9月,原因是凭证填充攻击。未经授权的第三方使用从无关漏洞中窃取的凭证访问用户账户。

23andMe于2023年8月意识到该问题。它通过客户门户收到消息,并在Hydra Market平台上看到一篇帖子。这些帖子据称来自未经授权的第三方,声称已访问超过300TB的数据,包括1000万条DNA记录。ICO的通知指出,23andMe在收到消息后开了一张内部IT工单,但很快关闭了它,认为该问题是一个恶作剧。

2023年10月,23andMe客户的个人数据出现在多个论坛上出售。未经授权的第三方声称数据是根据种族和民族背景针对性获取的。发现此事后,23andMe重新展开调查,采取措施控制漏洞,并于10月6日通知客户。它于10月15日通知了ICO。作为调查的一部分,23andMe发现8个账户可能在2019年和2020年类似的无关攻击中被访问。

哪些个人数据受到影响?

据信,大约一半的23andMe客户基础受到影响(约1400万客户)。数据因客户而异。然而,其中一些包括特殊类别数据,如健康信息、基因数据以及种族或民族起源。

ICO认定的缺陷

鉴于数据的敏感性,ICO发现23andMe未能实施适当的技术和组织保障措施。这些包括:

  • 未使用多因素认证(MFA)进行登录
  • 限制下载原始基因数据的能力的控制措施不足
  • 监控和事件响应系统不佳
  • 要求客户使用电子邮件地址作为用户名,而不是不可预测的用户名
  • 弱密码策略,包括未根据常见单词和已知泄露凭证列表检查密码
  • 没有设备或浏览器指纹识别来跟踪账户访问
  • 在允许客户下载原始数据之前不需要额外的验证步骤

关键要点

ICO再次强调了MFA的重要性,正如其在Advanced和DPP Law案件中所做的那样。它驳回了23andMe关于其较年长客户群缺乏有效使用MFA所需数字技能的说法。

凭证填充是在线服务的已知风险,因此ICO期望公司有经过测试的流程来防止此类攻击。

确保个人通知符合GDPR第34(2)条的要求非常重要。23andMe在个人通知中未能包含漏洞期间,未提及原始基因数据可能已被访问,并且未解释漏洞的潜在后果。

ICO通常将缺乏合作视为加重因素。在这种情况下,23andMe:

  • 未以请求的格式提供信息
  • 错过截止日期
  • 经常要求延期
  • 延迟关键披露
  • 更改先前的回应
  • 在通知其他监管机构时未能更新ICO

由于23andMe的财务困难,ICO将其缺乏合作视为中性因素。然而,罚款显示了聘请外部法律顾问和取证提供商进行彻底调查并交付结构化监管响应策略的重要性。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次