Các dịch vụ xét nghiệm di truyền có thể cung cấp cho bạn nhiều thông tin thú vị về tổ tiên và sức khỏe. Tuy nhiên, đổi lại, bạn phải trao cho họ những dữ liệu cá nhân vô cùng nhạy cảm. Việc dữ liệu di truyền của bạn bị rao bán trên dark web không phải là chuyện đùa, và thật không may, đây chính xác là những gì đang xảy ra sau vụ rò rỉ dữ liệu nghiêm trọng từ một dịch vụ xét nghiệm di truyền nổi tiếng. Điều này đặt ra một hồi chuông cảnh tỉnh về tầm quan trọng của việc bảo mật thông tin cá nhân trong kỷ nguyên số.
Vụ Rò Rỉ Dữ Liệu Di Truyền Khổng Lồ từ 23andMe
Vào năm 2023, công ty xét nghiệm DNA 23andMe đã phải hứng chịu một vụ rò rỉ dữ liệu quy mô lớn, khiến thông tin di truyền của hàng triệu khách hàng bị lộ. Tin tặc đã đột nhập thành công vào 14.000 tài khoản cá nhân và lấy đi thông tin liên quan đến khoảng 6,9 triệu cá nhân được liệt kê là người có mối quan hệ họ hàng trên trang web của 23andMe.
Dữ liệu bị đánh cắp bao gồm nhiều loại thông tin nhạy cảm:
- Tên đầy đủ
- Ngày sinh
- Thông tin địa lý
- Ảnh hồ sơ
- Chủng tộc
- Báo cáo sức khỏe
- Dân tộc
- Cây phả hệ
Logo 23andMe, đại diện cho công ty xét nghiệm DNA bị phạt vì rò rỉ dữ liệu
Hậu Quả Pháp Lý và Lỗ Hổng Bảo Mật Nghiêm Trọng
Sau vụ rò rỉ dữ liệu này, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) và Văn phòng Ủy viên Quyền riêng tư Canada (OPC) đã công bố cuộc điều tra chung vào tháng 6 năm 2024. Một năm sau, cuộc điều tra kết thúc với phán quyết phạt 23andMe số tiền 2,31 triệu bảng Anh (khoảng 3,13 triệu đô la Mỹ) vì “vi phạm gây tổn hại sâu sắc”, như thông báo của ICO.
Cuộc điều tra cũng đã làm nổi bật những sai sót nghiêm trọng về bảo mật tại thời điểm xảy ra vụ vi phạm. Công ty đã không áp dụng các biện pháp xác thực phù hợp, cụ thể là thiếu xác thực đa yếu tố (MFA) bắt buộc và yêu cầu mật khẩu lỏng lẻo. 23andMe cũng không có bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu di truyền thô, cũng như không có “hệ thống hiệu quả để giám sát, phát hiện hoặc phản ứng với các mối đe dọa mạng nhắm vào thông tin nhạy cảm của khách hàng.”
John Edwards, Ủy viên Thông tin Vương quốc Anh, đã lý giải một cách rõ ràng:
23andMe đã thất bại trong việc thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đầy đủ, các dấu hiệu cảnh báo đã có, và công ty đã chậm trễ trong việc phản ứng. Điều này khiến dữ liệu nhạy cảm nhất của người dùng dễ bị khai thác và gây hại.
Thái độ thờ ơ của 23andMe trong việc thừa nhận vụ việc cũng bị chỉ trích. Vụ rò rỉ bắt đầu từ tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận vi phạm và bắt đầu một cuộc điều tra đầy đủ cho đến tháng 10 năm 2023, khi một nhân viên phát hiện dữ liệu bị đánh cắp đang được rao bán trên Reddit.
Bảo Vệ Dữ Liệu Di Truyền Cá Nhân: Trách Nhiệm Bắt Đầu Từ Bạn
Không giống như mật khẩu hay các thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu mà bạn có thể thay đổi, dữ liệu di truyền của bạn là duy nhất và không thể thay thế. Một khi thông tin này đã bị lộ ra ngoài, về cơ bản, bạn có thể bị tổn hại suốt đời.
Vì vậy, trong khi bạn không thể thay đổi dữ liệu di truyền đã bị lộ, việc cảnh giác với các nỗ lực lừa đảo hay đánh cắp danh tính là điều cần thiết. Hơn thế nữa, để bảo vệ bản thân khỏi các vụ rò rỉ dữ liệu trong tương lai, hãy luôn thiết lập xác thực đa yếu tố (MFA) cho mọi tài khoản trực tuyến và sử dụng mật khẩu mạnh, duy nhất. Đây là những bước cơ bản để củng cố dấu chân kỹ thuật số của bạn, bất kể nhà cung cấp dịch vụ có yêu cầu hay không. Việc chủ động bảo vệ thông tin cá nhân trên mạng là trách nhiệm của mỗi người. Ngoài ra, hãy cân nhắc kỹ lưỡng trước khi sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm. Dù việc tìm hiểu về tổ tiên có vẻ hấp dẫn, sự tò mò này không đáng để đánh đổi với rủi ro mất đi dữ liệu di truyền cực kỳ nhạy cảm, có thể bị sử dụng cho vô vàn mục đích xấu.
Tài liệu tham khảo:
