基因公司遭骇 盗取华裔及犹太裔数据

据湾区城市新闻报导，上周五旧金山(专题)联邦法院接受了一起针对基因信息测试公司23andMe的集体诉讼。诉讼指控，该公司在骇客去年4月以来侵入约700万客户敏感信息事件中，应对不力，还指出该公司在知情的情况下未及时披露骇客有针对华裔(专题)和阿什肯纳兹犹太人血统的用户信息，使得受影响用户处于种族主义伤害的风险之下。

诉讼文件指出大约有100万阿什肯纳兹犹太人和35万华裔客户的信息为骇客窃取并在暗网售卖，导致这些族群“对人身安全”的恐慌，并有可能“被针对、种族歧视或骚扰。”

原告律师荣格（Gia Jung)表示本桉有别于一般数据泄漏桉件。大多数此类桉件都涉及金融信息，而不是基因或健康信息。她说：“你可以换信用卡，你可以换电邮地址，但是你没办法更改自己的基因。”这让损失变得难以弥补。

荣格表示：“这类数据泄漏造成的危害是其他一般数据泄漏桉件所没有的。”例如，这些信息可以被用来在目前巴勒斯坦问题的争议中针对犹太族裔或制造“有针对性的社会攻击。”

长达50页的诉讼文件描述了从2023年4月起，一项针对23andMe公司的所谓“凭证填充（Credential Stuffing)”攻击。意思是骇客们用从某处搜集的登入凭证来登入同一用户在其他网站的帐户，因为有些客户会使用同样的登入信息。

23andMe公司据说没有强制使用“双因子认证协议”，也没有使用自动脚本防止科技，导致骇客可以向其发送大量“凭证填充”攻击。