23andMe因数据泄露被罚款

基因检测公司23andMe因数据泄露被罚款，加拿大隐私专员警告数据安全隐患

多伦多—— 加拿大和英国的隐私监管机构联合调查发现，基因检测公司23andMe在两年前遭受的数据泄露是由该公司缺乏安全的措施造成的。受影响的人数近七百万，其中包括加拿大近32万用户。

加拿大隐私专员Philippe Dufresne 在周二召开的新闻发布会上表示，此次数据泄露警示所有组织在日益严重的网络威胁环境下加强数据保护的重要性。他说：“如今个人信息被越来越多地收集、使用和共享，这种风险更加突出。”

23andMe公司出售基因检测套件，利用用户的唾液样本通过DNA分析揭示遗传信息。此次泄露包含高度敏感的健康、种族、民族以及亲属关系信息、出生日期、性别以及性别认同等数据。 Dufresne 指出，盗取的数据后来被在线上出售，进一步加剧了受影响个人的风险。

2023年5月，Dufresne和英国信息专员John Edwards宣布将调查此次数据泄露的范围、该公司对数据处理的安全措施以及是否充分通知监管机构和受影响个人。调查结果显示，黑客利用从其他网站受到过攻击的用户名或电子邮件地址和密码等信息登陆了23andMe平台，最终获得了超过18,000个用户的账户访问权限。

更令人担忧的是，如果用户开启了与基因亲属共享信息的特性，黑客能够访问到更多用户的数据。这意味着最终数百万用户的个人信息暴露。

调查发现，23andMe“没有制定适当的安全措施”来防止此次攻击。该公司缺乏强制的多因素身份验证、密码强度要求不完善、对用户重复使用受损凭证的检查不足以及保护敏感数据的额外安全措施等问题。

此外，调查还发现，23andMe的检测机制未能及时提醒公司黑客试图获取和获得大量客户账户的未经授权访问。尽管情况非常紧急，但该公司在攻击可能正在进行时也花了四个多日才关闭所有活跃用户会话并强制重置密码。

该报告还指出，23andMe花费了一个月才禁用自助下载原始DNA数据的功能并实施强制多因素身份验证。

阅读本文之前，你最好先了解...

• 数据泄露的严重性: 基因信息是高度敏感的个人数据，包含关于个体健康状况、遗传倾向和亲属关系的信息。一旦泄露，这些信息可能会被用于欺诈、歧视或其他恶意目的，给个人带来不可估量的损害。
• 隐私保护的重要性: 随着技术的进步，个人数据被收集和使用越来越多，保护隐私变得至关重要。各国政府和国际组织不断努力制定法律法规来加强数据安全和隐私保护，例如欧盟的《通用数据保护条例》(GDPR)。
• 企业责任与安全措施: 处理个人数据的企业负有确保数据安全和隐私的责任。这包括采取一系列安全措施，例如加密、身份验证、访问控制和定期安全评估，以防止数据泄露和滥用。

23andMe 的回应和未来走向

23andMe在调查结果公布后表示，已采取了多项措施来加强其数据安全措施，包括实施多因素身份验证、改进密码强度要求和对用户重复使用受损凭证的检查。该公司还表示，将继续与监管机构合作，确保其平台的安全性和用户的隐私保护。

此次事件也提醒所有基因检测公司和其他处理个人数据的组织，必须认真对待数据安全问题，采取有效的措施来防止数据泄露。消费者也应提高警惕，了解自身数据的风险和如何保护自身隐私，例如选择信誉良好、重视数据安全的企业，并定期检查自己的账户安全设置。

如果你有其它意见，请评论留言。