Wat bedrijven kunnen leren van de inbreukreactie van 23andMe
Inhoudsopgave:
Iedere bedrijfs- en IT-leider vreest de dag dat hij of zij gedwongen wordt te reageren op een ernstig datalek. Degenen die de pech hebben een dergelijk incident mee te maken, moeten een goed ingestudeerde reeks protocollen en processen hebben om doorheen te werken als onderdeel van hun incidentresponsplan. Maar zelfs dit verzacht misschien niet wat er daarna komt.
Een recente inbreuk bij DNA-testbedrijf 23andMe biedt interessant inzicht in waarom reputatiemanagement en crisiscommunicatie een kernonderdeel van incidentrespons zouden moeten zijn.
Wat is er gebeurd?
Het eerste dat klanten hoorden van de inbreuk was in oktober, toen het in San Francisco gevestigde biotechbedrijf onthulde dat het onderzoek deed naar beweringen dat hackers een grote hoeveelheid gebruikersgegevens hadden gecompromitteerd. Minstens één bedreigingsactoren was sinds augustus actief op zoek naar het verkopen van een naar verluidt 300 TB aan gebruikersgegevens. Miljoenen platen werden blijkbaar te koop aangeboden op het dark web.
It later bleek dat hackers aanvankelijk de accounts van ongeveer 0.1% van het klantenbestand, oftewel 14,000 klanten, hadden gehackt via een klassieke ‘credential stuffing’-techniek. Met andere woorden, ze verkregen inloggegevens die de klanten voor meerdere accounts hadden hergebruikt en gebruikten deze om hun 23andMe-profielen te ontgrendelen.
“Met behulp van deze toegang tot de met inloggegevens gevulde accounts heeft de bedreigingsacteur ook toegang gekregen tot een aanzienlijk aantal bestanden met profielinformatie over de afkomst van andere gebruikers die dergelijke gebruikers kozen om te delen toen ze zich aanmeldden voor de DNA Relatives-functie van 23andMe en bepaalde informatie online plaatsten”, aldus de woordvoerder. stevig voortgezet.
23andMe later bevestigd dat in totaal 6.9 miljoen mensen getroffen werden. Met andere woorden: door één account te compromitteren via credential stuffing kon de hacker toegang krijgen tot gegevens over die gebruiker en zijn familieleden, waardoor de omvang van de inbreuk aanzienlijk werd vergroot.
Voor de meeste slachtoffers omvatten de gestolen gegevens hun naam, geboortejaar, relatielabels, percentage DNA gedeeld met familieleden, vooroudersrapporten en zelfgerapporteerde locatie. Het is misschien niet verrassend dat dit incident aanleiding gaf tot tientallen class action-rechtszaken.
23andMe's reactie
Dit is waar de zaken controversiëler beginnen te worden. Een brief De advocaten van 23andMe die op 11 december de slachtoffers van de inbreuk hebben gestuurd, lijken laatstgenoemden de schuld te geven van de inbreuk. Ten eerste beweert het dat “gebruikers na eerdere inbreuken hun wachtwoorden nalatig hebben gerecycled en niet hebben bijgewerkt”; waardoor de creential stuffing-aanvallen mogelijk worden gemaakt.
“Daarom was het incident niet het gevolg van het vermeende onvermogen van 23andMe om redelijke veiligheidsmaatregelen te handhaven”, voegt de brief eraan toe.
Vervolgens beweren de advocaten van het kantoor dat zelfs als er een overtreding heeft plaatsgevonden, deze is verholpen. 23andMe heeft alle getroffen wachtwoorden gereset en verplicht gebruikers nu om tweefactorauthenticatie (2FA) te gebruiken bij het inloggen.
Ten slotte beweren ze dat alle informatie waartoe hackers toegang krijgen “niet voor enige schade kan worden gebruikt”.
“De informatie die de onbevoegde actor mogelijk over de eisers heeft verkregen, kon niet worden gebruikt om geldelijke schade te veroorzaken (het omvatte niet hun burgerservicenummer, rijbewijsnummer of enige betalings- of financiële informatie)”, aldus de brief.
Deskundigen zijn er niet zo zeker van. CEO van CyberSmart, Jamie Akhtar, beweert dat dit argument “niet gebaseerd is op de realiteit van moderne cyberdreigingen”.
“Dergelijke gegevens kunnen gemakkelijk door cybercriminelen worden gebruikt om social engineering-campagnes te lanceren of zelfs om toegang te krijgen tot de financiële diensten van een individu”, vertelt hij aan ISMS.online. “Veel mensen gebruiken de meisjesnaam van moeder als extra veiligheidsvraag.”
Er zijn ook vraagtekens bij de beslissing om de slachtoffers van de inbreuk af te schilderen als enige schuldige aan het incident. Zelfs als de 0.1% van wie de rekeningen zijn gecompromitteerd door het opvullen van persoonlijke gegevens gedeeltelijk schuldig zijn, hebben de miljoenen van wie vervolgens hun DNA-informatie werd geschrapt geen zaak te beantwoorden, beweren de advocaten van de beklaagden.
“De poging van 23andMe om de verantwoordelijkheid te ontlopen door haar klanten de schuld te geven, doet niets voor deze miljoenen consumenten wier gegevens buiten hun schuld zijn gecompromitteerd,” betoogt Hassan Zavareei, een van de advocaten die deze slachtoffers vertegenwoordigt.
“23andMe wist of had moeten weten dat veel consumenten gerecyclede wachtwoorden gebruiken en dat 23andMe daarom enkele van de vele beschikbare beveiligingen had moeten implementeren om te beschermen tegen het opvullen van inloggegevens – vooral gezien het feit dat 23andMe persoonlijke identificatie-informatie, gezondheidsinformatie en genetische informatie op zijn platform opslaat. .”
Deze maatregelen hadden een verplichte 2FA voor het inloggen kunnen omvatten, iets wat het bedrijf vervolgens heeft ingevoerd. Een andere mogelijke manier om het in gevaar brengen van klantaccounts te beperken, is door controles uit te voeren op databases met eerder geschonden inloggegevens, zoals via een API voor de HaveIBeenPwned? plaats.
Een slechte dag voor PR
Dit alles illustreert waarom rigoureuze crisiscommunicatie en reputatiemanagement deel moeten uitmaken van de incidentresponsprocessen van uw organisatie. Volgens IBMvertegenwoordigen de kosten van verloren zaken – waaronder de kosten van verloren klanten en het werven van nieuwe klanten, maar ook reputatieverlies en verminderde goodwill – bijna een derde (29%) van de gemiddelde kosten van een datalek.
Yvonne Eskenzi, mede-oprichter van beveiligings-PR-bureau Eskenzi PR, stelt dat de brief van 23andMe waarschijnlijk werd aangestuurd door de juridische afdeling, maar het risico loopt klanten boos te maken en een volksreactie tegen het bedrijf aan te wakkeren.
“Een inbreukverklaring mag nooit het nieuws zijn”, zegt ze tegen ISMS.online.
“Elke dag verschijnen er inbreuken in het nieuws. De uitspraken zijn echter meestal zo alledaags dat ze niet als gespreksonderwerp verschijnen. Ze moeten feitelijk zijn en door journalisten en klanten worden gebruikt voor informatie, en niet voor speculatie. Benadruk wat er wordt gedaan en wat klanten kunnen doen, in plaats van de negatieve punten te accentueren.”
Zes stappen naar een betere incidentrespons Comms
Beste praktijken op het gebied van cyberbeveiliging zoals ISO 27001 kan uw organisatie helpen bij het ontwerpen en implementeren van uitgebreide incidentbeheerprogramma's. Maar er is altijd ruimte voor verbetering.
Hier zijn een paar tips van Eskenzi:
⦁ Stel een crisiscommunicatieplan op: het moet de contactgegevens bevatten van de belangrijkste belanghebbenden en waar zij toezicht op zullen houden, richtlijnen voor werknemers en plannen voor het monitoren van sociale, media- en klantkanalen
⦁ Voer crisissimulaties uit met een derde partij: zij zullen feedback geven en helpen problemen te voorkomen
⦁ Vermijd het beschuldigen van slachtoffers: na de inbreuk moet u in plaats daarvan de beveiligingspraktijken onderzoeken en stappen implementeren om te voorkomen dat een soortgelijk incident zich opnieuw voordoet, en dit vervolgens communiceren
⦁ Zorg ervoor dat alle publieke communicatie feitelijk, informatief en actueel is: vermijd speculatie, schets welke stappen worden genomen om te voorkomen dat er opnieuw een inbreuk plaatsvindt, en geef praktisch advies over hoe getroffen partijen zichzelf kunnen beschermen
⦁ Schroom niet om je te verontschuldigen: oprechte excuses en betekenisvolle actie kunnen empathie tonen, het vertrouwen herstellen en de merkperceptie verbeteren
⦁ Zorg ervoor dat communicatieafdelingen leiding geven aan alle externe communicatie: juridische inbreng moet beperkt blijven tot het beoordelen van hun output, en niet andersom
