基因公司遭駭 盜取華裔及猶太裔數據

據灣區城市新聞報導，上周五舊金山聯邦法院接受了一起針對基因信息測試公司23andMe的集體訴訟。訴訟指控，該公司在駭客去年4月以來侵入約700萬客戶敏感信息事件中，應對不力，還指出該公司在知情的情況下未及時披露駭客有針對華裔和阿什肯納茲猶太人血統的用戶信息，使得受影響用戶處於種族主義傷害的風險之下。

訴訟文件指出大約有100萬阿什肯納茲猶太人和35萬華裔客戶的信息為駭客竊取並在暗網售賣，導致這些族群「對人身安全」的恐慌，並有可能「被針對、種族歧視或騷擾。」

原告律師榮格（Gia Jung)表示本案有別於一般數據洩漏案件。大多數此類案件都涉及金融信息，而不是基因或健康信息。她說：「你可以換信用卡，你可以換電郵地址，但是你沒辦法更改自己的基因。」這讓損失變得難以彌補。

榮格表示：「這類數據洩漏造成的危害是其他一般數據洩漏案件所沒有的。」例如，這些信息可以被用來在目前巴勒斯坦問題的爭議中針對猶太族裔或製造「有針對性的社會攻擊。」

長達50頁的訴訟文件描述了從2023年4月起，一項針對23andMe公司的所謂「憑證填充（Credential Stuffing)」攻擊。意思是駭客們用從某處搜集的登入憑證來登入同一用戶在其他網站的帳戶，因為有些客戶會使用同樣的登入信息。

23andMe公司據說沒有強制使用「雙因子認證協議」，也沒有使用自動腳本防止科技，導致駭客可以向其發送大量「憑證填充」攻擊。