没有一家公司愿意因为遭受安全事件而出现在媒体上,尽管正如我们行业中不断重复的那样,没有 100% 安全这样的事情。 因此,问题不是是否会发生安全事件(答案必然是肯定的),而是组织如何为检测、管理和响应做好准备。基本上,准备程序、进行模拟并进入持续改进的循环。 IA 自动化图像 从最近媒体曝光的情况来看,基因分析公司23andme对此似乎并没有太认真地准备,至少从沟通的角度来看,其管理层因此蒙受了极大的抹黑,其明显的缺陷是:这些错误一直激怒了其用户(已收到 30 多起大规模投诉)和网络安全社区。 攻击的时间轴 2023 年 10 月 6 日:一名化名 Golem 的演员威胁出售从 23andme 平台提取的 100 万人的个人信息。 2023 年 10 月 10 日: 23andme 已要求所有用户重置密码作为预防措施。 2023 年 10 月 17 日:同一威胁行为者在 BreachForums 暗网论坛上发布了一个新数据集,其中包含另外 400 万人的个人数据。 2023 年 10 月 20 日: 23andme 禁用 DNA 共享选项以寻找潜在亲属。 2023 年 11 月 6 日: 23andme 默认为其客户端添加 2FA,以保护用户免受撞库攻击。 2023 年 11 月 30 日: 23andme 更改其条款和条件,将调解定义为默认争议解决机制。 以下是本次事件管理中所犯的一些错误,希望从中吸取教训,以免其他组织重蹈覆辙。
错误:尽量减少发生率 这是组织在安全事件管理中常犯的错误。首先,他们倾向于尽量减少事件的影响,以淡化事件的重要性,并试图平息所产生的噪音。 以23andme为例,早期的一篇博客文章中提到,该事件仅影响了14,000名客户,不到其1,400万用户群的0.1%。 虽然这种说法 亚洲数据 在技术上可能是正确的,但攻击者只能通过撞库攻击直接访问这数千名客户的帐户。对于普通大众来说,影响才是最重要的。 现实情况是,攻击者通过允许与其他用户共享信息寻找亲属(DNA亲属功能)和家谱(Family Tree功能)的可选功能获取了690万用户的个人信息,这相当于大约一半的用户信息。它的用户。 错误:归咎于用户 根据发布的信息,在收到用户的大量投诉后,该公司的反应令人惊讶的是,以某种方式像猫一样翻身,并向一些投诉人发出了一封信,将这一事件归咎于用户及其密码管理。今年 1 月的TechCrunch。 这种指责毫无意义。 23andMe 知道或应该知道许多客户使用重复使用的密码,因此23andMe 应该实施一些可用的保护措施来防止撞库,特别是考虑到 23andMe 在其平台上存储个人身份信息、健康信息和遗传信息。 错误:条款和条件更改 据stackdiary报道,在收到 30 多起有关安全事件的投诉后,23andme 再次决定更改与其用户签订的合同条款和条件。这一变化将迫使其用户进行有约束力的仲裁,这是在法庭外解决争议(例如安全漏洞)的一种手段。 在此过程中,意见不一致的双方向作为中立第三方的仲裁员陈述案件。
仲裁员听取双方的意见,审查证据并做出决定。具有约束力的仲裁的关键在于仲裁员的决定是最终的,这意味着双方都必须接受该决定并且不能向普通法院上诉。 23andme 传达其新条款和条件。 如果发生安全漏洞,这意味着如果您与 23andMe 存在争议,您应该首先尝试与他们的客户服务解决。如果这不起作用,你会去仲裁,而不是诉讼。 这就是 23andMe 根据这次事件所发生的事情想要实现的目标,并为他们今后的保护铺平道路,至少可以说这是一个党派之举。 火上浇油的是,这种条件的改变是自动强制执行的,用户可以在收到 23andme 的通知后 30 天内直接发送电子邮件至 23andme 提供的电子邮件 ( argumentoptout@23andme.com ) 来拒绝仲裁程序。条件的变化。 这自然意味着很大一部分用户会忽略该消息,另一部分用户会看到它,但不会采取行动,最后另一部分(这次较小)会在截止日期后这样做,因此不会有效的。所有这些用户最终都将被纳入仲裁过程。 正确性 事件处理过程中并非一切都是负面的,有些行动是充分且正确的。因此,将它们列出来以提供事件及其处理的完整视角也是公平的。 内部调查快速有效,而且技术上确实很简单,是一种撞库攻击。有时,这会被延迟,从而为攻击者提供最大影响和谣言泛滥的时间。 我们采取了快速预防措施,例如要求所有用户重置密码。尽管这是一项预防措施,但通过适当的沟通,我们相信这些速效措施对于最大限度地减少影响并证明组织解决问题的主动性是重要且正确的。