لماذا يعتبر خرق بيانات 23andMe كارثة؟

في وقت سابق من هذا الأسبوع، اعترفت شركة 23andMe بحدوث اختراق في شهر أكتوبر أسوأ بشكل كبير مما اعترفت به الشركة في البداية، مما أثر على 6.9 مليون شخص، وليس 14000 شخص ذكرت لأول مرة. تابعت شركة 23andMe هدية عيد الميلاد المبكرة للمستخدمين: تحديث شروط الخدمة من شأنه أن يجبر الأشخاص على ذلك التنازل عن الحق في مقاضاة الشركة. تتضمن البيانات المسروقة الأسماء الكاملة والمعلومات الجينية والمزيد، ولكن على الرغم من حساسية المعلومات، استجاب بعض المستهلكين بهز الكتفين. كواحد علق مستخدم TikTok على مقطع فيديو حول موضوع “ماذا سيفعلون لاستنساخي؟”

ربما لن يستخدم المتسللون معلومات الحمض النووي الخاصة بك لجعلك أخًا صغيرًا تم إنتاجه في المختبر، لكن الخبراء يتفقون على أن هذا الاختراق كارثة.

وقال ألبرت فوكس كان، المدير التنفيذي لمشروع مراقبة تكنولوجيا المراقبة: “الحقيقة هي أنه لا أحد منا يعرف تمامًا تداعيات هذا الاختراق اليوم، فقط اليقين بأنه سيزداد سوءًا بمرور الوقت”. “إن القدرة على استخدام بيانات الحمض النووي كسلاح سوف تزداد حدة مع زيادة قوة أجهزة الكمبيوتر. من ملفاتنا الصحية إلى أشجار عائلاتنا إلى التفاصيل الدقيقة لبيولوجيتنا، من المحتمل أن يكشف هذا الاختراق الكثير.

وفقًا لمتحدث باسم 23andMe، سرق المتسللون البيانات بما في ذلك أسماء الأشخاص وسنة الميلاد وتسميات العلاقات واسم العائلة والموقع. كما تم أيضًا “الوصول إلى معلومات الملف الشخصي لشجرة العائلة” الخاصة بـ 1.4 مليون شخص إضافي اختاروا الانضمام إلى DNA Relatives. لكن الأسوأ كان المعلومات الجينية. لم يقتصر الأمر على قيام المتسللين بسرقة معلومات حول النسبة المئوية لمستخدمي الحمض النووي الذين تم مشاركتهم مع أقاربهم، بل قامت شركة 23andMe أيضًا بتسريب تقارير السلالة وأجزاء الحمض النووي المطابقة (على وجه التحديد حيث كان الحمض النووي المطابق هم وأقاربهم على الكروموسومات الخاصة بهم).

يبدو أن هذه البيانات معروضة للبيع بالفعل. سلكي ذكرت في أكتوبر أن أحد المستخدمين قد أعلن عن بيانات مسروقة لشركة 23andMe في منتدى قرصنة معروف في وقت قريب من خرق البيانات. نشر المستخدم البيانات المزعومة لمليون مستخدم من أصل يهودي أشكنازي و100 ألف مستخدم صيني لشركة 23andMe كدليل، وطلب من 1 إلى 10 دولارات لكل شخص في مجموعة البيانات.

بشكل عام، يقع على عاتق الشركات التزام قانوني بحماية عملائها من خروقات البيانات. وقد يؤدي اختراق 23andMe إلى تعريض الشركة لدعاوى قضائية، لكن فريقها القانوني أصدر تحديثًا سريعًا لمنع ذلك.

ولم تستجب شركة 23andMe على الفور لطلب التعليق.

نشرت الشركة تحديثًا لشروط الخدمة الأسبوع الماضي (من قبيل الصدفة، في الوقت الذي أخطرت فيه لجنة الأوراق المالية والبورصات بكارثة القرصنة التي تعرضت لها). يجبر تحديث السياسة المستخدمين على اللجوء إلى التحكيم الملزم، وهو وسيلة لحل النزاعات خارج المحكمة، كما تم الإبلاغ عنه لأول مرة بواسطة يوميات المكدس. تحظر شركة 23andMe على وجه التحديد رفع دعوى جماعية ضد الشركة ما لم يختار كل شخص عدم المشاركة في التحكيم. إذا كنت أحد الأشخاص المتأثرين، فيمكنك إلغاء الاشتراك عن طريق إرسال بريد إلكتروني إلى العنوان Arbitrationoptout@23andme.com في غضون 30 يومًا، أي 30 ديسمبر. هذه التفاصيل موجودة في الجزء السفلي من القسم الخامس للاطلاع على شروط الخدمة المحدثة.

بالنسبة للكثيرين، من الصعب أن نفهم بالضبط سبب أهمية انتشار كل هذه البيانات على الإنترنت. تحدث عمليات الاختراق والانتهاكات طوال الوقت، ناهيك عن تريليونات شركات نقاط البيانات مثل Google وMeta التي تنتقل عبر وسائل أكثر “شرعية”.

المشكلة، كما يقول الخبراء، هي أنك نادراً ما تشعر بالعواقب بشكل مباشر. يتم استخدام معلوماتك الشخصية بطرق معقدة وغامضة لجميع أنواع الأغراض خلف الأبواب المغلقة. لها تأثيرات هائلة على حياتك، لكنك لا تعرف أبدًا ما هي البيانات المسؤولة عن أي معضلة معينة.

وقالت سوزان بيرنشتاين، زميلة القانون في مركز معلومات الخصوصية الإلكترونية، لموقع جيزمودو: “بالنظر إلى النظام الأكبر للتنميط التجاري، فإنه يؤثر بالفعل على فقدان الفرص في بعض الأحيان”. “البيانات التي يتم جمعها منك تحدد ما هو متاح لك وما لا يتم تقديمه لك. يمكن أن يكون هذا شيئًا غير ضار، مثل الإعلانات المستهدفة التي تراها أو رسائل البريد الإلكتروني التي تتلقاها، ولكنه يتيح أيضًا التمييز.

في الماضي، تم استخدام بيانات المستهلك لاستبعاد بعض التركيبة السكانية من فرص العمل أو الشقق الشاغرة. يتم استخدام المعلومات الشخصية المنتشرة عبر الإنترنت في قرارات التوظيف وطلبات الائتمان، حتى أن شركات التأمين تستخدمها لتحديد أقساط التأمين. وبطبيعة الحال، كلما تمكن المجرمون من الحصول على معلومات أكثر تفصيلاً، زادت احتمالية وقوعك ضحية لسرقة الهوية.

قد تبدو المعلومات الجينية منفصلة عن هذه المشاكل، لكنها ليست كذلك.

وقال بيرنشتاين: لا يمكنك تغيير معلوماتك الجينية، لذا فهي حساسة في حد ذاتها. وأضافت: “ولكن يمكن استخدامها أيضًا للتوصل إلى استنتاجات حول معلومات صحية أخرى، مثل التشخيص أو التاريخ العائلي الطبي”. “هناك خطر جدي من أن يصبح ذلك جزءًا من التنميط الذي يحدث في النظام البيئي الأوسع.”

وهذه العوامل هي فقط الطرق التي نعرف بها معلومات الحمض النووي التي يمكن استخدامها اليوم. علم الجينات هو مجال سريع التطور. وليس هناك ما يمكن أن تكشفه هذه المعلومات في المستقبل.

قال جوستين شيرمان، زميل أول في جامعة هارفارد: “إن الخصوصية والمراقبة أمران مرتبطان بالسياق بشكل كبير، ومع تطور تقنيات التحليل الجيني والاستهداف والمراقبة الجديدة، فإن السياق حول خصوصية البيانات الجينية ومراقبتها سيتغير بشكل كبير بطرق لا يستطيع الكثير من الناس الآن التنبؤ بها”. مدرسة ديوك سانفورد للسياسة العامة، ومؤسس الاستراتيجيات السيبرانية العالمية.

ولم تصل شركة 23andMe إلى حد التنازل عن مسؤوليتها تمامًا، لكن تصريحاتها العامة بشأن الاختراق تحمل طابع إلقاء اللوم على الضحية. وقال متحدث باسم الشركة إن خرق البيانات نتج عن إعادة تدوير الأشخاص لكلمات المرور التي استخدموها في حسابات أخرى. على ما يبدو، استخدم المتسللون كلمات المرور التي تسربت في أماكن أخرى لاقتحام حسابات 14000 شخص، وهو خرق أمني بسيط يُعرف باسم حشو بيانات الاعتماد.

نظرًا لأن 23andMe تم تصميمها كأداة شاملة لجمع البيانات والتي تضغط على العملاء لمشاركة بياناتهم مع الجميع بدءًا من المستخدمين الآخرين وحتى شركاء الشركة في صناعة الأدوية، فقد تمكن المتسللون من استخدام هذه الحسابات المخترقة البالغ عددها 14000 لسرقة معلومات حول ملايين الأشخاص الآخرين على منصة.

إن إعادة استخدام كلمات المرور أمر مثير للمشاكل، لكن المتخصصين في مجال الأمن يدركون أن ممارسات كلمات المرور السيئة هي ضمانة. وفقًا للخبراء، كان من السهل منع اختراق 23andMe.

وقال باتريك جاكسون، كبير مسؤولي التكنولوجيا في شركة Disconnect، وهي شركة للأمن الرقمي: “من غير المقبول أن تتجاهل 23andMe طلب المصادقة الثنائية (2FA) للوصول إلى الحساب”. “غالبًا ما يستهدف المهاجمون المواقع التي تحتوي على بيانات حساسة، مثل 23andMe، وخاصة تلك التي لا تتطلب المصادقة الثنائية المطلوبة، مما يجعلها عرضة لهجمات حشو بيانات الاعتماد.”