據加拿大與英國進行的聯合調查顯示,基因檢測公司23andMe未能採取基本措施來保護客戶數據,導致近700萬人的資料被人透過網上出售,因此,英國對該公司罰款231萬英鎊、即約424 萬加元,但根據現行私隱法,加拿大無權向該公司徵收類似罰款。
加拿大私隱專員Philippe Dufresne與英國資訊專員John Edwards星期二在渥太華舉行記者會,公布調查結果。
Dufresne表示,隨著資料外泄事件的嚴重性與複雜性日益增加,透過勒索軟件與惡意軟件攻擊的行為亦急劇上升,任何不採取措施來優先保護資料、並應對有關威脅的機構均顯得日益脆弱,其中調查發現,23andMe沒有採取類似安全措施。
23andMe去年9月同意支付3,000萬美元,以對一宗訴訟進行和解,原因是有駭客於2023年竊取690萬名客戶的個人數據,並將資料發佈在暗網上出售,包括近32萬名加拿大人及超過15萬名英國人的數據, 該次攻擊更似乎是專門針對擁有華裔及阿什肯納茲猶太血統的客戶。
Dufresne稱,泄露的數據包括與健康、種族及族群相關的高度敏感訊息,以及親屬、出生日期、出生性別與性別特徵的相關資料,這些資訊大部分來自個人遺傳基因DNA,資料外泄事故更警示所有機構,在網絡威脅日益嚴重的時代,資料保護的重要性屬不容忽視。
加拿大與英國私隱機構於去年6月啟動聯合調查,以檢討資料外泄事故的範圍、以及23andMe的應對措施。
英國資訊專員John Edwards表示,受資料外泄事故影響的用戶向他們反映,擔心事故可能會對其個人、財務與家庭安全構成影響,其中一名受影響的用戶更稱,與用戶名、密碼及電郵地址不同,基因組成資料是無法改變。
23andMe 於本年3月已申請破產,由聯合創辦人 Anne Wojcicki 領導的非牟利組織在6月13日宣布,將以3.05億美元收購該陷入困境的公司。
23andMe於2006年成立,總部設在美國加州,公司聲稱在全球擁有超過1,500萬名客戶,業務主要集中在家用DNA檢測試劑盒,可使用唾液樣本來提供健康風險與血統的基因資料,23andMe於2021年上市,但從未獲利。
Edwards批評,23AndMe未能採取基本措施來保護用戶訊息,安全系統亦不足,雖然預警訊號早已出現,但公司仍反應遲緩,令用戶最敏感的個人數據容易受到利用與損害。
此外,調查更發現,23andMe未能按照加拿大與英國法律的要求,向監管機構及受影響的客戶充分通報資料外泄事故。
Dufresne表示,憂慮被盜資料之後會被在網絡上出售,強大的資料保護必須成為各機構的首要工作,尤其是那些持有敏感個人資訊的機構; 各機構亦必須採取主動措施來防範網絡攻擊,包括使用多因素身分驗證、嚴格的最低密碼要求、密碼泄露檢查、以及充分監控來檢測異常活動。
Dufresne更促請加拿大更新私隱法,容許像英國一樣徵收罰款與發出指令。
23andMe的發言人發出聲明表示,在 2024年底前,公司已採取多項措施來增強安全性,以保護個人帳戶及資訊,23andMe的新東主亦已作出多項具約束力的承諾,加強對客戶資料及私隱的保護,包括容許用戶刪除帳戶、並選擇不讓其資料用於研究。
