Tin tứcCông ty xét nghiệm di truyền 23andMe (Mỹ) thông báo rằng, tin tặc đã truy cập dữ liệu cá nhân của 0,1% khách hàng, tương đương khoảng 14.000 cá nhân.
Công ty cũng cho biết bằng cách truy cập vào các tài khoản đó, tin tặc cũng có thể truy cập “một số lượng đáng kể các tệp chứa thông tin về gia phả, người thân của những người dùng khác”.
Nhưng 23andMe không cho biết có bao nhiêu “người dùng khác” bị ảnh hưởng. Hóa ra, có rất nhiều “người dùng khác” là nạn nhân của vụ vi phạm dữ liệu này: tổng cộng 6,9 triệu cá nhân bị ảnh hưởng.
Do tính năng “Người thân DNA” khớp người dùng với người thân của họ, bằng cách hack vào một tài khoản cá nhân, tin tặc có thể xem dữ liệu cá nhân của cả chủ tài khoản cũng như người thân của họ, điều này đã làm tăng tổng số nạn nhân của 23andMe lên nhiều lần.
Dữ liệu bị đánh cắp bao gồm tên, năm sinh, mối quan hệ, tỷ lệ DNA được chia sẻ với người thân, gia phả, thông tin sức khỏe và vị trí.
Những người ủng hộ quyền riêng tư từ lâu đã cảnh báo rằng việc chia sẻ DNA với các công ty xét nghiệm như 23andMe khiến người dùng dễ bị lộ thông tin di truyền nhạy cảm, có thể tiết lộ nguy cơ sức khỏe của cá nhân và những người thân có liên quan đến họ.
Người dùng có thể chọn chia sẻ các loại dữ liệu khác nhau, bao gồm tên, vị trí, cha ông và thông tin sức khỏe như khuynh hướng di truyền đối với các tình trạng bệnh như hen suyễn, trầm cảm, huyết áp cao và thoái hóa điểm vàng ở mắt.
Việc tiếp xúc với những thông tin như vậy có thể gây ra những hậu quả đáng lo ngại.
Tại Hoa Kỳ, thông tin sức khỏe thường được bảo vệ bởi Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA). Nhưng những biện pháp bảo vệ như vậy chỉ áp dụng cho các nhà cung cấp dịch vụ chăm sóc sức khỏe.
Đạo luật Không phân biệt đối xử dựa trên thông tin di truyền (Genetic Information Nondiscrimination Act, GINA) năm 2008, chống lại sự phân biệt đối xử trong việc làm và bảo hiểm y tế nếu thông tin từ xét nghiệm DNA được đưa ra ngoài tự nhiên. Điều này nhằm mục đích bảo vệ các cá nhân khỏi bị từ chối khi đi xin việc làm hoặc bảo hiểm ví dụ như khi xét nghiệm DNA cho thấy họ có nguy cơ phát triển tình trạng suy nhược cơ thể.
Nhưng luật pháp có kẽ hở. Đơn cử như cả công ty bảo hiểm nhân thọ và công ty bảo hiểm khuyết tật đều có quyền từ chối chính sách về con người dựa trên thông tin di truyền của họ.
Đã có những vụ hack nổi đình đám nhằm vào các công ty xét nghiệm DNA. Nhưng vụ 23andMe bị hack là vụ vi phạm đầu tiên của một công ty lớn trong đó việc lộ thông tin sức khỏe được công bố công khai.
Gần dây, Ủy ban Thương mại Liên bang đã ra lệnh cho một công ty nhỏ hơn, Vitagene, tăng cường bảo vệ sau khi thông tin sức khỏe bị lộ.
Khi tiết lộ vụ việc, 23andMe cho biết vụ vi phạm dữ liệu là do khách hàng sử dụng lại mật khẩu, điều này cho phép tin tặc tấn công tài khoản của nạn nhân bằng cách sử dụng mật khẩu được biết đến công khai trong các vụ vi phạm dữ liệu của các công ty khác.
Công ty 23andMe cho biết không có bằng chứng nào về sự vi phạm trong hệ thống của chính họ.
Kể từ vụ hack, công ty đã thông báo rằng họ sẽ yêu cầu xác thực hai yếu tố để bảo vệ khỏi các cuộc tấn công trên trang web. Họ cho biết dự kiến họ sẽ phải chịu chi phí từ 1 triệu đến 2 triệu USD liên quan đến vụ việc này.
