更新：23andMe因泄露敏感数据而面临诉讼 媒体

23andMe面临金字塔诉讼：客户数据泄露事件

关键要点

2023年10月17日，多个集体诉讼陆续针对美国大型生物科技公司23andMe提出，原因是该公司客户数据泄露，数据泄露事件与凭证填充攻击有关，该事件影响了近100万名亚实基犹太人。根据BleepingComputer的报道，最初泄露的数据包括亚实基犹太人的全名、出生日期、性别、DNA信息以及位置等，甚至账户ID也被其他网络犯罪分子共享，尽管最初的黑客已经撤回数据，并开始出售被盗的23andMe用户资料。

亚实基犹太人是指来自中东欧自古以来生活的犹太人。23andMe在发送给SC Media的声明中表示，当前并没有证据表明其系统受到攻击，并且“目前没有迹象表明我们的系统内部发生了数据安全事件。”但是，公司承认黑客可能利用了重复使用的用户凭证非法访问客户账户。该声明呼应了23andMe在其网站上的博文，指出：“我们的调查发现，黑客能够访问用户账户，前提是用户重复使用了登陆凭证即在23andMecom上使用的用户名和密码与之前被黑客攻击的其他网站上的相同。”

公司认为，通过凭证填充攻击，黑客得以访问那些选择共享信息的客户账户，这使得对手能够编制出选择使用该功能的特定用户资料。在至少一起针对该公司的诉状中，律师们指控23andMe未能提供充分的信息，以保护客户数据的安全。诉状还称，公司没有足够的安全保护措施来减轻这一攻击。

根据BleepingComputer的报道，涉及的诉讼名单Santana，Eden，Andrizzi，Lamons要求对“23andMe未能保护他们数据所造成的损害”进行救济。原告要求获得经济赔偿，包括终身信用监控、赔偿、惩罚性和法定损害赔偿，以及律师费用的覆盖。

更新说明： 于2023年10月17日1100 AM ET更新本文章，以强调23andMe的立场，即并未发生系统数据泄露，而是遭受了凭证填充攻击。