据湾区城市新闻报导,上周五旧金山联邦法院接受了一起针对基因信息测试公司23andMe的集体诉讼。诉讼指控,该公司在黑客去年4月以来侵入约700万客户敏感信息事件中,应对不力,还指出该公司在知情的情况下未及时披露黑客有针对华裔和阿什肯纳兹犹太人血统的用户信息,使得受影响用户处于种族主义伤害的风险之下。
诉讼文档指出大约有100万阿什肯纳兹犹太人和35万华裔客户的信息为黑客窃取并在暗网售卖,导致这些族群「对人身安全」的恐慌,并有可能「被针对、种族歧视或骚扰。」
原告律师荣格(Gia Jung)表示本案有别于一般数据泄漏案件。大多数此类案件都涉及金融信息,而不是基因或健康信息。她说:「你可以换信用卡,你可以换电邮地址,但是你没办法更改自己的基因。」这让损失变得难以弥补。
荣格表示:「这类数据泄漏造成的危害是其他一般数据泄漏案件所没有的。」例如,这些信息可以被用来在目前巴勒斯坦问题的争议中针对犹太族裔或制造「有针对性的社会攻击。」
长达50页的诉讼文档描述了从2023年4月起,一项针对23andMe公司的所谓「凭证填充(Credential Stuffing)」攻击。意思是黑客们用从某处搜集的登录凭证来登录同一用户在其他网站的帐户,因为有些客户会使用同样的登录信息。
23andMe公司据说没有强制使用「双因子认证协议」,也没有使用自动脚本防止科技,导致黑客可以向其发送大量「凭证填充」攻击。