23andMe面临金字塔诉讼：客户数据泄露事件

关键要点

• 23andMe由于客户数据泄露事件面临众多集体诉讼。
• 泄露数据涉及近100万名亚实基犹太人的个人信息。
• 23andMe强调未发生系统数据泄露，怀疑是凭借重复使用的用户凭证被黑客入侵。
• 投诉声称公司未提供足够的信息以保护客户数据。

2023年10月17日，多个集体诉讼陆续针对美国大型生物科技公司23andMe提出，原因是该公司客户数据泄露，数据泄露事件与凭证填充攻击有关，该事件影响了近100万名亚实基犹太人。根据的报道，最初泄露的数据包括亚实基犹太人的全名、出生日期、性别、DNA信息以及位置等，甚至账户ID也被其他网络犯罪分子共享，尽管最初的黑客已经撤回数据，并开始出售被盗的23andMe用户资料。

亚实基犹太人是指来自中东欧自古以来生活的犹太人。23andMe在发送给SCMedia的声明中表示，当前并没有证据表明其系统受到攻击，并且“目前没有迹象表明我们的系统内部发生了数据安全事件。”但是，公司承认黑客可能利用了重复使用的用户凭证非法访问客户账户。该声明呼应了23andMe在其，指出：“我们的调查发现，黑客能够访问用户账户，前提是用户重复使用了登陆凭证——即在23andMe.com上使用的用户名和密码与之前被黑客攻击的其他网站上的相同。”

公司认为，通过凭证填充攻击，黑客得以访问那些选择共享信息的客户账户，这使得对手能够编制出选择使用该功能的特定用户资料。在至少一起针对该公司的中，律师们指控23andMe未能提供充分的信息，以保护客户数据的安全。诉状还称，公司没有足够的安全保护措施来减轻这一攻击。

根据BleepingComputer的报道，涉及的诉讼名单（，，，）要求对“23andMe未能保护他们数据所造成的损害”进行救济。原告要求获得经济赔偿，包括终身信用监控、赔偿、惩罚性和法定损害赔偿，以及律师费用的覆盖。

更新说明： 于2023年10月17日11:00 AM
ET更新本文章，以强调23andMe的立场，即并未发生系统数据泄露，而是遭受了凭证填充攻击。