Các dịch vụ xét nghiệm DNA di truyền như 23andMe có thể cung cấp cho bạn nhiều thông tin thú vị về tổ tiên, nhưng đổi lại, bạn phải giao nộp những dữ liệu cá nhân vô cùng nhạy cảm. Việc dữ liệu di truyền của bạn bị rao bán trên dark web không phải là chuyện đùa, và thật không may, đây chính xác là những gì đang xảy ra sau sự cố rò rỉ dữ liệu nghiêm trọng từ một dịch vụ xét nghiệm DNA hàng đầu. Đây là một vấn đề an ninh mạng cần được mọi người dùng công nghệ quan tâm đặc biệt.
Dữ liệu di truyền của bạn đang bị rao bán trực tuyến
Công ty xét nghiệm DNA 23andMe đã phải hứng chịu một vụ rò rỉ dữ liệu quy mô lớn vào năm 2023, khiến dữ liệu di truyền của hàng triệu khách hàng bị lộ ra ngoài. Tin tặc đã đột nhập thành công vào 14.000 tài khoản cá nhân và đánh cắp thông tin liên quan đến khoảng 6,9 triệu cá nhân được liệt kê là người thân có thể có trên trang web. Vụ việc này đã gây chấn động cộng đồng người dùng và giới chuyên gia bảo mật dữ liệu.
Dữ liệu bị đánh cắp bao gồm nhiều thông tin nhạy cảm, cụ thể:
- Tên đầy đủ
- Ngày sinh
- Thông tin địa lý
- Ảnh hồ sơ
- Chủng tộc
- Báo cáo sức khỏe
- Dân tộc
- Cây gia phả
Sau vụ rò rỉ dữ liệu di truyền này, Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) và Văn phòng Ủy viên Quyền riêng tư Canada (OPC) đã cùng nhau công bố một cuộc điều tra chung về sự cố vào tháng 6 năm 2024. Một năm sau, cuộc điều tra đã kết thúc với mức phạt 2,31 triệu bảng Anh (khoảng 3,13 triệu USD) đối với 23andMe vì “vi phạm gây tổn hại sâu sắc” như ICO đã thông báo.
Logo 23andMe trên trang web chính thức, biểu tượng của dịch vụ xét nghiệm DNA bị rò rỉ dữ liệu di truyền.
Cuộc điều tra cũng làm sáng tỏ những sai sót nghiêm trọng về bảo mật vào thời điểm xảy ra vụ vi phạm. Công ty đã không áp dụng các biện pháp xác thực phù hợp, điển hình là việc thiếu xác thực đa yếu tố (MFA) bắt buộc và yêu cầu mật khẩu lỏng lẻo. 23andMe cũng không có bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu di truyền thô, và không có “hệ thống hiệu quả nào được thiết lập để giám sát, phát hiện hoặc phản hồi các mối đe dọa mạng nhắm vào thông tin nhạy cảm của khách hàng”.
John Edwards, Ủy viên Thông tin Vương quốc Anh, đã giải thích rõ ràng nhất:
23andMe đã không thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đầy đủ, các dấu hiệu cảnh báo đã xuất hiện, và công ty đã phản ứng chậm trễ. Điều này khiến dữ liệu nhạy cảm nhất của mọi người dễ bị khai thác và gây hại.
Thái độ thờ ơ của 23andMe trong việc thừa nhận vụ vi phạm cũng đã được chỉ ra. Vụ rò rỉ ban đầu bắt đầu vào tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận vụ việc và bắt đầu điều tra đầy đủ cho đến tháng 10 năm 2023, khi một nhân viên phát hiện dữ liệu bị đánh cắp đang được rao bán trên Reddit.
Bảo vệ dữ liệu cá nhân: Trách nhiệm của chính bạn
Không giống như mật khẩu và các thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu, bạn không thể đơn giản thay đổi dữ liệu di truyền của mình. Một khi dữ liệu này đã bị lộ ra ngoài, về cơ bản bạn đã bị tổn hại suốt đời. Đây là một trong những rủi ro lớn nhất khi sử dụng các dịch vụ công nghệ liên quan đến thông tin sinh trắc học.
Vì vậy, trong trường hợp này, bạn không thể làm gì nhiều ngoài việc cảnh giác với bất kỳ nỗ lực lừa đảo hoặc đánh cắp danh tính nào. Tuy nhiên, bạn vẫn có thể cố gắng tự bảo vệ mình khỏi các vụ vi phạm dữ liệu trong tương lai. Việc thiết lập xác thực đa yếu tố (MFA) cho các tài khoản trực tuyến và sử dụng mật khẩu mạnh, duy nhất cho mỗi tài khoản là một số bước cơ bản nhất mà bạn nên thực hiện để bảo vệ dấu chân kỹ thuật số của mình, bất kể nhà cung cấp dịch vụ có bắt buộc hay không. Bảo vệ điểm tín dụng của bạn nếu bị ảnh hưởng bởi vi phạm dữ liệu cũng rất quan trọng.
Ngoài ra, hãy cố gắng tránh sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm ngay từ đầu. Chắc chắn, việc tìm hiểu về tổ tiên của bạn nghe có vẻ thú vị, nhưng sự tò mò này không đáng để đánh đổi với thông tin di truyền cực kỳ nhạy cảm có thể bị sử dụng cho mọi loại mục đích xấu. Hãy luôn đặt vấn đề bảo mật thông tin cá nhân lên hàng đầu khi tương tác với bất kỳ nền tảng công nghệ nào.
