Các dịch vụ xét nghiệm di truyền có thể cung cấp nhiều thông tin thú vị về tổ tiên và sức khỏe, nhưng đi kèm với đó là việc người dùng phải trao nộp những dữ liệu cá nhân cực kỳ nhạy cảm. Việc thông tin gen của bạn bị rao bán trên dark web không phải là chuyện đùa, và đó chính xác là điều đang xảy ra sau vụ rò rỉ dữ liệu chấn động từ một dịch vụ di truyền hàng đầu như 23andMe. Đây là một lời cảnh tỉnh nghiêm trọng về tầm quan trọng của việc bảo vệ dữ liệu cá nhân trong thế giới số.
Dữ Liệu Di Truyền Của Bạn Đang Bị Rao Bán Trực Tuyến
Công ty xét nghiệm DNA 23andMe đã phải hứng chịu một vụ rò rỉ dữ liệu khổng lồ vào năm 2023, khiến thông tin di truyền của hàng triệu khách hàng bị lộ ra ngoài. Tin tặc đã xâm nhập thành công 14.000 tài khoản cá nhân và đánh cắp thông tin liên quan đến khoảng 6,9 triệu cá nhân được liệt kê là có thể có quan hệ họ hàng trên trang web của 23andMe.
Dữ liệu bị đánh cắp bao gồm:
- Tên
- Ngày sinh
- Thông tin địa lý
- Ảnh đại diện
- Chủng tộc
- Báo cáo sức khỏe
- Dân tộc
- Cây gia đình
Sau vụ việc, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) và Văn phòng Ủy viên Quyền riêng tư Canada (OPC) đã cùng nhau công bố một cuộc điều tra chung vào tháng 6 năm 2024. Một năm sau đó, cuộc điều tra đã kết thúc với mức phạt 2,31 triệu bảng Anh (3,13 triệu USD) đối với 23andMe. ICO nhận định đây là một “vi phạm gây tổn hại sâu sắc” do công ty đã không bảo vệ dữ liệu di truyền của người dùng tại Anh.
Logo 23andMe trên trang web của công ty
Cuộc điều tra cũng đã chỉ ra những sai sót nghiêm trọng trong bảo mật tại thời điểm xảy ra vụ rò rỉ. Cụ thể, 23andMe đã không thiết lập các biện pháp xác thực phù hợp, thiếu xác thực đa yếu tố (MFA) bắt buộc và có các yêu cầu mật khẩu lỏng lẻo. Công ty cũng không có bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu di truyền thô, cũng như không có “hệ thống hiệu quả để giám sát, phát hiện hoặc ứng phó với các mối đe dọa mạng nhắm vào thông tin nhạy cảm của khách hàng”.
John Edwards, Ủy viên Thông tin Vương quốc Anh, đã phát biểu:
23andMe đã không thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đủ mạnh, các dấu hiệu cảnh báo đã hiện hữu, và công ty đã chậm trễ trong việc phản ứng. Điều này khiến dữ liệu nhạy cảm nhất của mọi người dễ bị khai thác và gây hại.
Thái độ thờ ơ của 23andMe trong việc thừa nhận vụ rò rỉ cũng bị chỉ trích. Vụ việc bắt đầu từ tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận vi phạm và bắt đầu một cuộc điều tra đầy đủ cho đến tận tháng 10 năm 2023, khi một nhân viên phát hiện dữ liệu bị đánh cắp đang được rao bán trên Reddit.
Bảo Vệ Dữ Liệu Cá Nhân Bắt Đầu Từ Chính Bạn
Không giống như mật khẩu và các thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu, bạn không thể đơn giản thay đổi dữ liệu di truyền của mình. Một khi dữ liệu này đã bị lộ, về cơ bản, bạn sẽ bị tổn hại vĩnh viễn.
Vì vậy, trong trường hợp này, bạn không thể làm gì nhiều ngoài việc cảnh giác với mọi nỗ lực lừa đảo hoặc đánh cắp danh tính. Tuy nhiên, bạn vẫn có thể cố gắng tự bảo vệ mình khỏi các vụ rò rỉ trong tương lai. Thiết lập xác thực đa yếu tố (MFA) cho các tài khoản trực tuyến và sử dụng mật khẩu mạnh, duy nhất cho mỗi tài khoản là những bước cơ bản mà bạn nên thực hiện để bảo vệ dấu chân kỹ thuật số của mình, bất kể nhà cung cấp dịch vụ có yêu cầu hay không.
Ngoài ra, hãy cố gắng tránh sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm ngay từ đầu. Chắc chắn, việc tìm hiểu về tổ tiên của bạn nghe có vẻ hấp dẫn, nhưng sự tò mò này không đáng để đánh đổi với thông tin di truyền cực kỳ nhạy cảm có thể bị sử dụng cho đủ loại mục đích xấu. Hãy luôn đặt ưu tiên hàng đầu cho an toàn thông tin cá nhân.
