23andMe لضحايا خرق البيانات: هذا خطأك!

ماذا يحدث عندما تفقد الشركة مجموعة من بيانات المستخدم؟ عادة، يعتذرون ويطلبون المغفرة بخجل. ليس الأمر كذلك مع 23andMe. شركة الجينوم الشعبية التي عانت خرق رهيب للبيانات في العام الماضي، اختارت بدلاً من ذلك إخبار العملاء الغاضبين أنه ربما كان عليهم اختيار كلمة مرور أفضل إذا كانوا لا يريدون تعزيز بياناتهم.

للتوضيح، تتم حاليًا مقاضاة شركة 23andMe – أو بشكل أكثر دقة، مهاجمتها قانونيًا – من قبل عدد كبير من الأشخاص نظرًا لحقيقة تعرض أعداد كبيرة من حسابات المستخدمين للاختراق من قبل مجرمي الإنترنت في العام الماضي. اندلعت أخبار الاختراق في أكتوبر، عندما تم نشر بيانات العملاء للبيع على الويب المظلم. في تلك المرحلة، أخبرت 23andMe الجمهور بذلك فقط حوالي 14000 حساب قد تم اختراقها. ومع ذلك، كشفت التحقيقات اللاحقة أنه بسبب ميزة مشاركة البيانات الداخلية المرتبطة بتلك الحسابات، ربما كان العدد الحقيقي للأشخاص المتأثرين حوالي 6.9 مليون.

لذا، نعم، الناس غاضبون بشكل طبيعي، ونتيجة لذلك، يحاولون مقاضاة شركة الجينوم. الكلمة الأساسية هنا هي “محاولة” لأنه نظرًا لبعض الإضافات المثيرة للجدل في اتفاقية شروط الخدمة الخاصة بشركة 23andMe، فمن الصعب جدًا تحقيق دعوى قضائية جماعية (مثل دعوى جماعية). وبدلاً من ذلك، تنص شروط الخدمة الخاصة بالشركة على أنه يجب على المستخدمين التخلي عن فرصة مقاضاة الشركة وبدلاً من ذلك تجربة أيديهم في “التحكيم القسري” المسار القانوني البديل الذي يؤكده الخبراء هو مثقلة بالثقل لصالح الشركات. لا يزال هناك عدد من الدعاوى القضائية الجماعية تم تقديمها ضد الشركة، على ما يبدو في محاولة لتجاوز الاتفاقية الأصلية للشركة.

ومن المثير للسخرية أن شركة 23andMe لم تختار البقاء خارج المحكمة فحسب، بل يبدو أيضًا أنها تنكر أنها كانت المخطئ الرئيسي في خرق البيانات. مثال على ذلك: يوم الأربعاء، TechCrunch ذكرت في خطاب أرسلته شركة علم الجينوم إلى مكاتب المحاماة التابعة لإحدى الشركات التي تتولى دعوى قضائية ضدها، وهي شركة Tycko & Zavareei LLP، بدا فيها أنها تنكر ارتكاب أي مخالفات، وفي بعض الحالات، وجهت أصابع الاتهام مرة أخرى إلى العملاء المتأثرين. ال خطاب، والذي تم إرساله إلى مكاتب المحاماة، يقول في أحد هذه المقاطع:

“…قام المستخدمون بإهمال بإعادة تدوير كلمات المرور الخاصة بهم وفشلوا في تحديثها في أعقاب هذه الحوادث الأمنية السابقة، والتي لا علاقة لها بشركة 23andMe… ولذلك، لم يكن الحادث نتيجة لفشل 23andMe المزعوم في الحفاظ على تدابير أمنية معقولة…”

بمعنى آخر، يبدو أن شركة 23andMe تقول إن كارثة البيانات بأكملها ليست خطأها حقًا. وهذا يتفق مع ما ذكرته الشركة سابقًا، وهو أن الجاني الحقيقي في القضية برمتها كان سوء أمان الحساب وأن أنظمتها الخاصة لم يتم انتهاكها من قبل المجرمين. ومع ذلك، أشار النقاد إلى أنه كان ينبغي لشركة 23andMe أن تطلب من المستخدمين استخدام المصادقة متعددة العوامل، وهي ممارسة أمنية قياسية في الصناعة فشلت في الالتزام بها قبل حدوث الاختراق. قامت الشركة بوضع المصادقة الثنائية الإلزامية فقط بعد سرقة بيانات المستخدمين.

ردًا على رسالة 23andMe، قال المحامي حسن ظفاري لـ Gizmodo إن “23andMe تتنصل من كل المسؤولية عن الاختراق وتلقي باللوم بلا خجل على عملائها في الاختراق على أساس أن البيانات سُرقت من خلال حسابات العملاء الذين أعادوا تدوير بيانات اعتماد تسجيل الدخول من مواقع أخرى”.

وفي محادثة هاتفية، أشار زافاري أيضًا إلى حقيقة أن شركة 23andMe قامت مؤخرًا بتحديث شروط الخدمة الخاصة بها لجعل عملية التحكيم أكثر صعوبة وصعوبة في التنقل. آخر يتفق الخبراء القانونيون أن التغييرات التعاقدية الأخيرة للشركة جعلت من الصعب على المستخدمين المتأثرين التجمع معًا ومتابعة “التحكيم الجماعي”، وهي عملية من شأنها أن تكون أقرب إلى دعوى جماعية وبالتالي أكثر فائدة وملاءمة للضحايا.

هل هناك طريقة للالتفاف على شرط التحكيم؟ ووفقا لزافاري، هناك بعض السيناريوهات الافتراضية التي يمكن للضحايا من خلالها متابعة الدعاوى القضائية التقليدية.

وقال زافاري: “يمكنهم (23andMe) أن يلوحوا بالتحكيم ويوافقوا فقط على التقاضي في المحكمة وعدم الاحتجاج بشرط التحكيم”. “ليس لدينا أي مؤشر على نيتهم. يمكنهم أن يفعلوا ذلك إذا أرادوا فقط حل كل شيء مرة واحدة بدلاً من اللجوء إلى آلاف (القضايا) التحكيمية. وقال المحامي أيضًا إن المدعين في تلك القضايا يمكنهم “الطعن في شرط التحكيم والقول إن شرط التحكيم غير قابل للتنفيذ. هناك عدد من الحجج (القانونية) التي كان من الممكن أن تجعل البند غير قابل للتنفيذ وغير معقول”.

وبعبارة أخرى، يمكن لشركة 23andMe أن تقرر المجازفة بإجراء عملية تقاضي أكثر تقليدية إذا اعتقدت أن ذلك سيكون أبسط من التعامل مع مجموعات كبيرة من عمليات التحكيم الفردية. أو، من الناحية النظرية، يمكن للعملاء المتأثرين الاعتراض على شرط التحكيم الخاص بالشركة. ومع ذلك، فإن هذين الاحتمالين لا يبدوان محتملين بشكل خاص.

تواصل Gizmodo مع 23andMe للتعليق لكنه لم يتلق أي رد. سنقوم بتحديث هذه القصة إذا استجابت.