Ciberdelito, Gestión del fraude y ciberdelito, Atención sanitaria Millones de clientes también podrán controlar sus datos genéticos en la Dark WebMarianne Kolbasuk McGee (HealthInfoSec) • 24 de septiembre de 2024 Los usuarios de la función DNA Relatives de 23andMe se encontraban entre los millones de afectados por un ataque de robo de credenciales en 2023. (Imagen: 23andMe) En virtud de un acuerdo propuesto de 30 millones de dólares por unas 40 demandas colectivas consolidadas, la empresa de pruebas genéticas 23andMe realizará pagos en efectivo a millones de personas cuya información confidencial se vio comprometida en un incidente de robo de credenciales en 2023. Véase también: Cómo puede el sector sanitario adelantarse a los ataques de ransomware A los clientes afectados también se les ofrecerán tres años de servicios de monitorización gratuitos que no solo incluyen la monitorización de la identidad y el crédito, sino también el análisis de la Dark Web para detectar la exposición de sus datos genéticos. El acuerdo propuesto se presentó en un tribunal federal del norte de California el 12 de septiembre y está programado para una audiencia preliminar el 17 de octubre. 23andMe, en una declaración a Information Security Media Groups, dijo que la compañía espera que aproximadamente 25 millones de dólares del acuerdo y los gastos legales relacionados estén cubiertos por su póliza de seguro cibernético. «Seguimos creyendo que este acuerdo es lo mejor para los clientes de 23andMe, y esperamos finalizar el acuerdo». La compañía rechazó la solicitud de ISMG de más detalles, incluida la cantidad de efectivo que potencialmente se ofrecerá a los miembros del grupo. «No podemos comentar sobre esto, especialmente porque el acuerdo no ha sido aprobado formalmente», dice la declaración. 23andMe dijo que a principios de octubre de 2023, la compañía se enteró de que un actor de amenazas accedió a «un número selecto» de cuentas individuales de 23andMe.com a través del robo de credenciales. El hacker pudo acceder a unas 14.000 cuentas de usuario, menos del 1% de los 14 millones de clientes existentes de 23andMe, dijo 23andMe (ver: 23andMe investiga aparente hackeo de robo de credenciales). “El actor de amenazas usó las cuentas comprometidas con robo de credenciales para acceder a la información incluida en una cantidad significativa de perfiles de parientes de ADN (aproximadamente 5,5 millones) y perfiles de características de Family Tree (aproximadamente 1,4 millones), cada uno de los cuales estaba conectado a las cuentas comprometidas. Los actores de amenazas afirmaron el año pasado en la red oscura haber robado “20 millones de fragmentos de código” de 23andMe. Según informes de los medios, los datos filtrados que se pusieron a la venta pertenecían a usuarios de 23andMe con ciertos antecedentes de ascendencia de ADN, incluido 1 millón de líneas de código sobre personas con ascendencia de ADN judío asquenazí (ver: 23andMe dice que los piratas informáticos robaron datos de ascendencia de 6,9 ​​millones de usuarios). En virtud del acuerdo propuesto, a los miembros del acuerdo colectivo se les ofrecerán tres años de “Privacy & Medical Shield + Genetic Monitoring” de cortesía de CyEx, una empresa operativa independiente que forma parte de Pango Holdings. En un documento judicial presentado con el acuerdo propuesto, un ejecutivo de CyEx dijo que el servicio Privacy & Medical Shield + Genetic Monitoring “fue diseñado y construido por CyEx específicamente para los miembros del grupo 23andMe e incluye múltiples funciones que nunca se han proporcionado a las víctimas de violaciones de datos o incidentes de seguridad”. La lista de servicios de monitoreo incluye el monitoreo de la web oscura para 17 “categorías de datos únicas de datos confidenciales de los miembros del grupo del acuerdo que pueden estar expuestos, listados para la venta o el comercio en la web oscura”. Eso incluye “capacidad de monitoreo especialmente diseñada para escanear la web oscura en busca de cualquier dato relacionado con la genética específico de los miembros del grupo del acuerdo que pueda estar a la venta o el comercio. “Si se encuentran datos relacionados con la genética, CyEx alertará al miembro del grupo del acuerdo, quien puede comunicarse con el servicio de atención al cliente para hablar con un especialista en remediación sobre la identificación de posibles esfuerzos de mitigación”, dice el documento judicial. Las decenas de demandas colectivas que se han presentado contra 23andMe alegan, entre otras cosas, que la empresa no protegió adecuadamente la información personal de acuerdo con sus responsabilidades, tenía protocolos de seguridad de datos inadecuados y violó varios estatutos estatales de privacidad de información genética y otros estatutos estatales de protección del consumidor. Como parte del acuerdo de conciliación, 23andMe debe implementar una larga lista de mejoras de seguridad que no se pagarán con el fondo de conciliación. La lista incluye la implementación de una protección de contraseñas mejorada, la exigencia de autenticación multifactorial, la realización de análisis y auditorías anuales de ciberseguridad, la creación de un programa integral de seguridad de datos y la aplicación de una política de retención de datos para evitar mantener la información de clientes inactivos o desactivados más allá de un período de tiempo adecuado. URL original de la publicación: https://www.databreachtoday.com/23andme-to-pay-30m-for-credential-stuffing-hack-settlement-a-26357