Vad företag kan lära sig av 23andMes överträdelsesvar
Innehållsförteckning:
Varje företags- och IT-ledare fruktar den dag de tvingas svara på ett allvarligt dataintrång. De som är olyckliga att uppleva en sådan incident bör ha en väl inövad uppsättning protokoll och processer att arbeta igenom som en del av sin incidentresponsplan. Men även detta kanske inte mildrar vad som kommer härnäst.
En nyligen genomförd intrång hos DNA-testfirman 23andMe ger en intressant insikt om varför ryktehantering och kriskommunikation bör vara en central del av incidentresponsen.
Vad hände?
Det första som kunder hörde om intrånget var i oktober, när det San Francisco-baserade bioteknikföretaget avslöjade att det undersökte påståenden om att hackare hade äventyrat en stor mängd användardata. Åtminstone en hotaktör hade aktivt letat efter att sälja vad den påstods vara en mängd 300 TB användardata sedan augusti. Miljontals skivor lades tydligen ut till försäljning på den mörka webben.
It senare inträffade att hackare initialt brutit mot konton för cirka 0.1 % av sin kundbas, eller 14,000 23 kunder, genom en klassisk "credential stuffing"-teknik. Med andra ord fick de inloggningsuppgifter som kunderna hade återanvänt på flera konton och använde dem för att låsa upp sina XNUMXandMe-profiler.
"Genom att använda den här åtkomsten till de fyllda kontona fick hotaktören också tillgång till ett betydande antal filer som innehöll profilinformation om andra användares härkomst som sådana användare valde att dela när de valde att delta i 23andMes DNA Relatives-funktion och lade upp viss information online," fast fortsatte.
23andMe senare bekräftat att totalt 6.9 miljoner individer drabbades. Med andra ord, genom att kompromissa med ett konto genom inloggningsfyllning kunde hackaren komma åt data om den användaren och deras släktingar, vilket kraftigt ökade omfattningen av intrånget.
För de flesta offren inkluderade de stulna uppgifterna deras namn, födelseår, relationsetiketter, procentandel av DNA som delas med släktingar, härkomstrapporter och självrapporterad plats. Kanske inte överraskande ledde denna incident till dussintals grupptalan.
23andMes svar
Det är här saker och ting börjar bli mer kontroversiella. Ett brev skickade av 23andMes advokater till offer för intrång den 11 december verkar skylla på de senare för intrånget. För det första hävdar den att "användare av oaktsamhet återvunnit och misslyckats med att uppdatera sina lösenord" efter tidigare intrång; möjliggör attacker för credential stuffing.
"Därför var händelsen inte ett resultat av 23andMes påstådda underlåtenhet att upprätthålla rimliga säkerhetsåtgärder," tillägger brevet.
Därefter hävdar byråns advokater att även om en överträdelse inträffade så har den åtgärdats. 23andMe återställer alla berörda lösenord och kräver nu att användare använder tvåfaktorsautentisering (2FA) när de loggar in.
Slutligen hävdar de att all information som hackare har tillgång till "inte kan användas för någon skada".
"Den information som den obehöriga aktören potentiellt erhållit om målsägande kunde inte ha använts för att orsaka ekonomisk skada (den inkluderade inte deras personnummer, körkortsnummer eller någon betalningsinformation eller ekonomisk information)", står det i brevet.
Experter är inte så säkra. CyberSmart VD, Jamie Akhtar, hävdar att detta argument "inte är grundat i verkligheten av moderna cyberhot".
"Sådan data kan lätt användas av cyberbrottslingar för att lansera sociala ingenjörskampanjer eller till och med för att få tillgång till en individs finansiella tjänster", säger han till ISMS.online. "Många människor använder mammas flicknamn som en extra säkerhetsfråga."
Det finns också frågetecken kring beslutet att framställa brottsoffren som enbart skyldiga till händelsen. Även om de 0.1 % vars konton äventyras av legitimationsfyllning är delvis skyldiga, så har de miljoner som fick sin DNA-information skrapade ingen sak att besvara, hävdar de tilltalades advokater.
"23andMes försök att undandra sig ansvar genom att skylla på sina kunder gör ingenting för dessa miljontals konsumenter vars data komprometterades utan någon som helst förskyllan." hävdar Hassan Zavareei, en av advokaterna som företräder dessa offer.
"23andMe visste eller borde ha vetat att många konsumenter använder återvunna lösenord och därmed att 23andMe borde ha implementerat några av de många säkerhetsåtgärder som finns tillgängliga för att skydda mot inloggningsfyllning - särskilt med tanke på att 23andMe lagrar personlig identifieringsinformation, hälsoinformation och genetisk information på sin plattform .”
Dessa åtgärder kunde ha innefattat obligatorisk 2FA för inloggning, något som företaget sedan införde. Ett annat potentiellt sätt att minska kundkontokompromisser är att köra kontroller mot databaser med tidigare brutna referenser, till exempel via ett API för HaveIBeenPwned? webbplats.
En dålig dag för PR
Allt detta illustrerar varför rigorös kriskommunikation och ryktehantering bör vara en del av din organisations processer för incidenthantering. Enligt IBM, kostnaden för förlorade affärer – som inkluderar kostnaden för förlorade kunder och att skaffa nya kunder, såväl som rykteförluster och minskad goodwill – representerar nästan en tredjedel (29 %) av den genomsnittliga kostnaden för ett dataintrång.
Yvonne Eskenzi, en av grundarna av säkerhets-PR-byrån Eskenzi PR, hävdar att 23andMe:s brev troligen var driven av dess juridiska avdelning, men riskerar att reta kunderna och underblåsa en populär motreaktion mot företaget.
"Ett brottsuttalande bör aldrig vara nyheterna", säger hon till ISMS.online.
"Brott förekommer i nyheterna varje dag. Men uttalandena är vanligtvis så vardagliga att de inte framstår som en diskussionsämne. De bör vara sakliga och dras på av journalister och kunder för information, inte spekulationer. Markera vad som görs och vad kunder kan göra, snarare än att framhäva det negativa."
Sex steg för bättre reaktion på incidenter
Best practice cybersäkerhetsstandarder som ISO 27001 kan hjälpa din organisation att utforma och implementera omfattande incidenthanteringsprogram. Men det finns alltid utrymme för förbättringar.
Här är några tips från Eskenzi:
⦁ Sätt en kriskommunikationsplan på plats: Den bör innehålla kontaktuppgifterna för nyckelintressenter och vad de kommer att övervaka, vägledning för anställda och planer för övervakning av sociala, media- och kundkanaler
⦁ Genomför krissimuleringar med en tredje part: De kommer att ge feedback och hjälpa till att förebygga problem
⦁ Undvik att anklaga offer: Efter intrång bör du istället undersöka säkerhetspraxis och implementera åtgärder för att förhindra att en liknande incident inträffar igen, och sedan kommunicera detta
⦁ Se till att all kommunikation som riktar sig till allmänheten är saklig, informativ och läglig: Undvik spekulationer, beskriv vilka åtgärder som vidtas för att undvika att ett intrång inträffar igen, och ge praktiska råd om hur berörda parter kan skydda sig själva
⦁ Skygg inte för att be om ursäkt: Uppriktiga ursäkter och meningsfull handling kan visa empati, återställa förtroende och förbättra varumärkesuppfattningen
⦁ Säkerställ att kommunikationsavdelningarna leder på all extern kommunikation: Juridisk input bör begränsas till att granska deras produktion, inte tvärtom
