23andme-Verletzungsblog

Was Unternehmen aus der Reaktion von 23andMe auf Sicherheitsverletzungen lernen können

Jeder Unternehmens- und IT-Leiter fürchtet sich vor dem Tag, an dem er gezwungen ist, auf eine schwerwiegende Datenpanne zu reagieren. Diejenigen, die das Pech haben, einen solchen Vorfall zu erleben, sollten über gut eingespielte Protokolle und Prozesse verfügen, die sie als Teil ihres Vorfallreaktionsplans durcharbeiten können. Aber selbst das kann die Folgen, die als nächstes kommen, nicht mildern.

Ein kürzlicher Verstoß bei der DNA-Testfirma 23andMe bietet interessante Erkenntnisse darüber, warum Reputationsmanagement und Krisenkommunikation ein zentraler Bestandteil der Reaktion auf Vorfälle sein sollten.

Was ist passiert?

Das erste Mal, dass Kunden von dem Verstoß hörten war im Oktober, als das in San Francisco ansässige Biotech-Unternehmen bekannt gab, dass es Behauptungen untersucht, wonach Hacker eine große Menge an Benutzerdaten kompromittiert hätten. Mindestens ein Bedrohungsakteur hatte seit August aktiv versucht, einen angeblich 300 TB großen Benutzerdatenschatz zu verkaufen. Millionen von Schallplatten wurden offenbar im Dark Web zum Verkauf angeboten.

It später ereignete sich dass Hacker zunächst durch eine klassische „Credential Stuffing“-Technik in die Konten von rund 0.1 % des Kundenstamms oder 14,000 Kunden eindrangen. Mit anderen Worten: Sie erlangten Zugangsdaten, die die Kunden über mehrere Konten hinweg wiederverwendet hatten, und entsperrten damit ihre 23andMe-Profile.

„Durch diesen Zugriff auf die mit Anmeldeinformationen gefüllten Konten hat der Bedrohungsakteur auch auf eine beträchtliche Anzahl von Dateien zugegriffen, die Profilinformationen über die Abstammung anderer Benutzer enthalten, die diese Benutzer bei der Aktivierung der DNA-Verwandtschaftsfunktion von 23andMe freigegeben haben, und hat bestimmte Informationen online veröffentlicht“, sagte der Angreifer Firma fuhr fort.

23andMe später bestätigt dass insgesamt 6.9 Millionen Menschen betroffen waren. Mit anderen Worten: Durch die Kompromittierung eines Kontos durch Credential Stuffing konnte der Hacker auf Daten dieses Benutzers und seiner Verwandten zugreifen, was das Ausmaß des Verstoßes erheblich vergrößerte.

Bei den meisten Opfern umfassten die gestohlenen Daten ihren Namen, ihr Geburtsjahr, Beziehungsbezeichnungen, den Prozentsatz der mit Verwandten geteilten DNA, Abstammungsberichte und ihren selbst gemeldeten Aufenthaltsort. Es überrascht vielleicht nicht, dass dieser Vorfall Dutzende von Sammelklagen nach sich zog.

Antwort von 23andMe

Hier beginnen die Dinge kontroverser zu werden. Ein Brief Der von den Anwälten von 23andMe am 11. Dezember an die Opfer des Verstoßes geschickte Brief scheint Letzteren die Schuld für den Verstoß zu geben. Erstens wird behauptet, dass „Benutzer ihre Passwörter nach früheren Verstößen fahrlässig recycelt und nicht aktualisiert haben“; Ermöglicht die Credential-Stuffing-Angriffe.

„Deshalb war der Vorfall nicht das Ergebnis des angeblichen Versäumnisses von 23andMe, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten“, heißt es in dem Brief weiter.

Als nächstes behaupten die Anwälte der Kanzlei, dass, selbst wenn es zu einem Verstoß kam, dieser behoben wurde. 23andMe hat alle betroffenen Passwörter zurückgesetzt und schreibt nun vor, dass Benutzer beim Anmelden eine Zwei-Faktor-Authentifizierung (2FA) verwenden.

Abschließend argumentieren sie, dass die von Hackern abgerufenen Informationen „nicht zu Schadenszwecken genutzt werden dürfen“.

„Die Informationen, die der unbefugte Akteur möglicherweise über die Kläger erhalten hat, konnten nicht dazu verwendet werden, einen finanziellen Schaden anzurichten (dazu gehörten nicht deren Sozialversicherungsnummer, Führerscheinnummer oder Zahlungs- oder Finanzinformationen)“, heißt es in dem Schreiben.

Experten sind sich nicht so sicher. Jamie Akhtar, CEO von CyberSmart, behauptet, dass dieses Argument „nicht auf der Realität moderner Cyber-Bedrohungen beruht“.

„Solche Daten könnten leicht von Cyberkriminellen genutzt werden, um Social-Engineering-Kampagnen zu starten oder sich sogar Zugang zu den Finanzdienstleistungen einer Person zu verschaffen“, sagt er gegenüber ISMS.online. „Viele Leute verwenden den Mädchennamen der Mutter als zusätzliche Sicherheitsfrage.“

Es gibt auch Zweifel an der Entscheidung, den Opfern des Verstoßes die alleinige Schuld an dem Vorfall zuzuschreiben. Selbst wenn die 0.1 %, deren Konten durch Credential Stuffing kompromittiert wurden, teilweise schuldig sind, haben die Millionen, deren DNA-Informationen anschließend abgekratzt wurden, keinen Rechtsanspruch, behaupten die Anwälte der Angeklagten.

„Der Versuch von 23andMe, sich der Verantwortung zu entziehen, indem es seinen Kunden die Schuld zuweist, bringt diesen Millionen Verbrauchern nichts, deren Daten ohne eigenes Verschulden kompromittiert wurden.“ argumentiert Hassan Zavareei, einer der Anwälte, die diese Opfer vertreten.

„23andMe wusste oder hätte wissen müssen, dass viele Verbraucher recycelte Passwörter verwenden und dass 23andMe daher einige der vielen verfügbaren Sicherheitsmaßnahmen zum Schutz vor Credential Stuffing hätte implementieren sollen – insbesondere angesichts der Tatsache, dass 23andMe persönliche Identifikationsdaten, Gesundheitsinformationen und genetische Informationen auf seiner Plattform speichert .“

Zu diesen Maßnahmen hätte eine obligatorische 2FA für die Anmeldung gehören können, die das Unternehmen später einführte. Eine weitere mögliche Möglichkeit, die Kompromittierung von Kundenkonten abzumildern, besteht darin, Datenbanken mit zuvor gehackten Anmeldeinformationen zu prüfen, beispielsweise über eine API für HaveIBeenPwned? Website.

Ein schlechter Tag für PR

All dies verdeutlicht, warum eine strenge Krisenkommunikation und ein Reputationsmanagement Teil der Prozesse zur Reaktion auf Vorfälle in Ihrem Unternehmen sein sollten. Laut IBM, machen die Kosten entgangener Geschäfte – zu denen die Kosten für verlorene Kunden und die Gewinnung neuer Kunden sowie Reputationsverluste und geminderter Goodwill gehören – fast ein Drittel (29 %) der durchschnittlichen Kosten einer Datenschutzverletzung aus.

Yvonne Eskenzi, Mitbegründerin der Sicherheits-PR-Agentur Eskenzi PR, argumentiert, dass der Brief von 23andMe wahrscheinlich von der Rechtsabteilung von XNUMXandMe vorangetrieben wurde, aber das Risiko besteht, Kunden zu verärgern und eine öffentliche Gegenreaktion gegen das Unternehmen zu schüren.

„Eine Verletzungserklärung sollte niemals die Neuigkeit sein“, sagt sie gegenüber ISMS.online.

„Täglich tauchen Verstöße in den Nachrichten auf. Allerdings sind die Aussagen meist so banal, dass sie nicht als Gesprächsthema erscheinen. Sie sollten sachlich sein und von Journalisten und Kunden zur Information und nicht zur Spekulation herangezogen werden. Heben Sie hervor, was getan wird und was Kunden tun können, anstatt das Negative hervorzuheben.“

Sechs Schritte zu einer besseren Reaktion auf Vorfälle

Best-Practice-Standards für Cybersicherheit wie ISO 27001 kann Ihrer Organisation dabei helfen, umfassende Incident-Management-Programme zu entwerfen und umzusetzen. Aber es gibt immer Raum für Verbesserungen.

Hier ein paar Tipps von Eskenzi:

⦁ Erstellen Sie einen Krisenkommunikationsplan: Er sollte die Kontaktdaten der wichtigsten Stakeholder und deren Überwachung, Anleitungen für Mitarbeiter und Pläne zur Überwachung sozialer, Medien- und Kundenkanäle enthalten
⦁ Führen Sie Krisensimulationen mit einem Dritten durch: Sie geben Feedback und helfen, Problemen vorzubeugen
⦁ Vermeiden Sie es, Opfer zu beschuldigen: Nach einem Verstoß sollten Sie stattdessen Sicherheitspraktiken prüfen und Schritte umsetzen, um zu verhindern, dass ein ähnlicher Vorfall erneut auftritt, und dies dann kommunizieren
⦁ Stellen Sie sicher, dass alle öffentlich zugänglichen Mitteilungen sachlich, informativ und zeitnah sind: Vermeiden Sie Spekulationen, erläutern Sie, welche Schritte unternommen werden, um ein erneutes Auftreten eines Verstoßes zu verhindern, und geben Sie praktische Ratschläge, wie sich die betroffenen Parteien schützen können
⦁ Scheuen Sie sich nicht, sich zu entschuldigen: Aufrichtige Entschuldigungen und sinnvolles Handeln können Empathie zeigen, Vertrauen wiederherstellen und die Markenwahrnehmung verbessern
⦁ Stellen Sie sicher, dass die Kommunikationsabteilungen bei allen externen Kommunikationen die Führung übernehmen: Rechtliche Eingaben sollten sich auf die Überprüfung ihrer Ergebnisse beschränken, nicht umgekehrt

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.