Hva bedrifter kan lære av 23andMes bruddrespons
Innholdsfortegnelse:
Alle bedrifter og IT-ledere gruer seg til dagen de blir tvunget til å svare på et alvorlig datainnbrudd. De som er uheldige å oppleve en slik hendelse, bør ha et godt innøvd sett med protokoller og prosesser å jobbe gjennom som en del av sin hendelsesresponsplan. Men selv dette kan ikke dempe det som kommer videre.
Et nylig brudd hos DNA-testingsfirmaet 23andMe gir interessant innsikt i hvorfor omdømmehåndtering og krisekommunikasjon bør være en sentral del av hendelsesresponsen.
Hva skjedde?
Den første kundene hørte om bruddet var i oktober, da det San Francisco-baserte bioteknologifirmaet avslørte at det undersøkte påstander om at hackere hadde kompromittert et stort volum av brukerdata. Minst én trusselaktør hadde aktivt vært ute etter å selge det den hevdet å være en mengde på 300 TB med brukerdata siden august. Millioner av plater ble tilsynelatende lagt ut for salg på det mørke nettet.
It senere skjedde at hackere i utgangspunktet brøt kontoene til rundt 0.1 % av kundebasen, eller 14,000 23 kunder, gjennom en klassisk "credential stuffing"-teknikk. Med andre ord, de skaffet seg legitimasjon som kundene hadde gjenbrukt på tvers av flere kontoer og brukte dem til å låse opp XNUMXandMe-profilene deres.
«Ved å bruke denne tilgangen til kontoene med legitimasjon, fikk trusselaktøren også tilgang til et betydelig antall filer som inneholder profilinformasjon om andre brukeres opphav som slike brukere valgte å dele da de valgte å bruke 23andMes DNA Relatives-funksjon og la ut viss informasjon på nettet,» fast fortsatte.
23andMe senere bekreftet at totalt 6.9 millioner individer ble berørt. Med andre ord, ved å kompromittere én konto gjennom legitimasjonsfylling, fikk hackeren tilgang til data om den brukeren og deres slektninger, noe som i stor grad økte omfanget av bruddet.
For de fleste ofrene inkluderte de stjålne dataene deres navn, fødselsår, forholdsetiketter, prosentandel av DNA delt med slektninger, forfedrerapporter og selvrapportert sted. Kanskje ikke overraskende førte denne hendelsen til dusinvis av gruppesøksmål.
23andMes svar
Det er her ting begynner å bli mer kontroversielle. Ett brev sendt av 23andMes advokater til bruddofre 11. desember ser ut til å klandre sistnevnte for bruddet. For det første hevder den at "brukere resirkulerte uaktsomt og ikke klarte å oppdatere passordene sine" etter tidligere brudd; aktiverer credential stuffing-angrepene.
"Derfor var hendelsen ikke et resultat av 23andMes påståtte unnlatelse av å opprettholde rimelige sikkerhetstiltak," legger brevet til.
Deretter hevder firmaets advokater at selv om det skjedde et brudd, er det utbedret. 23andMe tilbakestiller alle berørte passord og krever nå at brukere bruker tofaktorautentisering (2FA) når de logger på.
Til slutt hevder de at all informasjon som hackere har tilgang til "ikke kan brukes til skade".
"Informasjonen som den uautoriserte aktøren potensielt innhentet om saksøkere kunne ikke ha blitt brukt til å forårsake økonomisk skade (den inkluderte ikke personnummer, førerkortnummer eller noen betalings- eller økonomisk informasjon)," bemerker brevet.
Eksperter er ikke så sikre. Administrerende direktør i CyberSmart, Jamie Akhtar, hevder at dette argumentet "ikke er forankret i realiteten til moderne cybertrusler".
"Slike data kan enkelt brukes av nettkriminelle til å lansere sosiale ingeniørkampanjer eller til og med for å få tilgang til en persons finansielle tjenester," sier han til ISMS.online. "Mange bruker mors pikenavn som et ekstra sikkerhetsspørsmål."
Det er også spørsmålstegn ved beslutningen om å fremstille bruddofrene som utelukkende skyld i hendelsen. Selv om de 0.1 % hvis kontoer ble kompromittert av legitimasjonsfylling er delvis skyldige, har de millionene som fikk DNA-informasjonen sin senere skrapet ingen sak å svare på, hevder advokatene for de tiltalte.
«23andMes forsøk på å unndra seg ansvar ved å skylde på kundene sine gjør ingenting for disse millioner av forbrukere hvis data ble kompromittert uten deres egen skyld,» hevder Hassan Zavareei, en av advokatene som representerer disse ofrene.
"23andMe visste eller burde ha visst at mange forbrukere bruker resirkulerte passord og dermed at 23andMe burde ha implementert noen av de mange tilgjengelige sikkerhetstiltakene for å beskytte mot legitimasjonsfylling - spesielt med tanke på at 23andMe lagrer personlig identifiserende informasjon, helseinformasjon og genetisk informasjon på sin plattform ."
Disse tiltakene kunne ha inkludert obligatorisk 2FA for pålogging, noe firmaet senere introduserte. En annen potensiell måte å redusere kundekontokompromittering på er å kjøre kontroller mot databaser med tidligere brutt legitimasjon, for eksempel via en API for HaveIBeenPwned? nettstedet.
En dårlig dag for PR
Alt dette illustrerer hvorfor streng krisekommunikasjon og omdømmestyring bør være en del av organisasjonens prosesser for respons på hendelser. Ifølge IBM, utgjør kostnaden for tapte forretninger – som inkluderer kostnadene for tapte kunder og å skaffe nye kunder, samt omdømmetap og redusert goodwill – nesten en tredjedel (29 %) av gjennomsnittskostnaden for et databrudd.
Yvonne Eskenzi, medgründer av sikkerhets-PR-byrået Eskenzi PR, argumenterer for at 23andMes brev sannsynligvis var drevet av dens juridiske avdeling, men risikerer å irritere kunder og skape et populært tilbakeslag mot selskapet.
"En brudderklæring skal aldri være nyheten," sier hun til ISMS.online.
"Brudd vises i nyhetene hver dag. Utsagnene er imidlertid vanligvis så dagligdagse at de ikke fremstår som en snakkis. De bør være saklige og trekkes på av journalister og kunder for informasjon, ikke spekulasjoner. Fremhev det som blir gjort og hva kundene kan gjøre, i stedet for å fremheve det negative.»
Seks trinn til bedre hendelsesrespons
Beste praksis cybersikkerhetsstandarder som ISO 27001 kan hjelpe organisasjonen din med å designe og implementere omfattende hendelseshåndteringsprogrammer. Men det er alltid rom for forbedring.
Her er noen tips fra Eskenzi:
⦁ Sett en krisekommunikasjonsplan på plass: Den bør inkludere kontaktinformasjonen til sentrale interessenter og hva de vil føre tilsyn med, veiledning for ansatte og planer for overvåking av sosiale, medie- og kundekanaler
⦁ Gjennomføre krisesimuleringer med en tredjepart: De vil gi tilbakemeldinger og hjelpe til med å forebygge problemer
⦁ Unngå å anklage ofre: Etter brudd, bør du i stedet undersøke sikkerhetspraksis og implementere skritt for å forhindre at en lignende hendelse skjer igjen, og deretter kommunisere dette
⦁ Sørg for at all offentlig kommunikasjon er saklig, informativ og rettidig: Unngå spekulasjoner, skisser hvilke skritt som tas for å unngå at et brudd oppstår igjen, og gi praktiske råd om hvordan berørte parter kan beskytte seg selv
⦁ Ikke viker unna å be om unnskyldning: Oppriktige unnskyldninger og meningsfull handling kan vise empati, gjenopprette tillit og forbedre merkeoppfatningen
⦁ Sørg for at kommunikasjonsavdelingene leder på alle eksterne kommunikasjoner: Juridisk innspill bør begrenses til å gjennomgå produksjonen deres, ikke omvendt
