FTC, tüketici verilerini Amazon klasörlerinde korumasız bırakan bir DNA testi girişimiyle kafa kafaya gidiyor.
DNA testi, güvenlik ve mahremiyet için uzun zamandır önemli bir konu olmuştur. Kolluk kuvvetleri ve veri saklamadan iş tekliflerine ve sigortaya kadar her şey hakkındaki endişeler uzun uzadıya incelendi. Milyonlarca insanın bu hizmetleri kullanmak için kaydolmasıyla, bir şeylerin ters gitmesi an meselesiydi.
Pekala, kaçınılmaz yasal çatışma şimdi burada ve müşteri mahremiyetinin korunmadığı iddiasıyla ilgili bir şikayette bulunan Federal Ticaret Komisyonu’nun izniyle geliyor. FTC sürümünden:
Federal Ticaret Komisyonu, genetik test firması 1Health.io’nun hassas genetik ve sağlık verilerini korumasız bıraktığı, tüketicileri verilerinin silinmesi konusunda kandırdığı ve verileri şirkete ait olan tüketicilere yeterli bildirimde bulunmaksızın ve onlardan onay almadan geriye dönük olarak gizlilik politikasını değiştirdiği suçlamasında bulundu. çoktan toplamıştı.
FTC’ye göre, tüketiciler hakkında 2.400’e yakın rapor ve en az 227 kişinin “ham genetik verileri” risk altındaydı. Bunun nedeni, çok sağlam güvenlik iddialarına rağmen, hassas verilerin herkesin erişebileceği Amazon Web Service klasörlerinde saklanıyor olmasıdır. Şikayete göre, depolama paketlerindeki veriler şifrelenmemişti, bunlara kimin eriştiğine dair herhangi bir izleme yapılmıyordu ve herhangi bir erişim kısıtlaması da yoktu.
Aslında şirket, iki yıllık bir süre boyunca güvensiz kovalar hakkında “en az” üç kez uyarıldı. 2019 yılında bir güvenlik araştırmacısı, kovalarla ilgili olarak şirketle iletişime geçtiğinde, sorun nihayet araştırıldı ve verileri potansiyel olarak ifşa olan müşteriler bilgilendirildi.
Başka yerlerde, bir tüketicinin adı veya diğer tanımlayıcı bilgilerle birlikte alıkonan DNA örneklerinin imha edilmesine ilişkin sözler tutulmadı. Daha önce Vitagene olarak bilinen 1Health, web sitesinde DNA’nın saklanmadığını ve tüketicilerin kişisel bilgilerini istedikleri zaman silebileceklerini iddia etti. Şirket, bu talep gerçekleştiğinde, verilerin şirketin sunucularından silineceğini ve analiz edildikten sonra tüm DNA tükürük örneklerinin benzer şekilde imha edileceğini söyledi.
Bununla birlikte, FTC, 2016’dan itibaren şirketin “DNA örneklerini analiz eden laboratuvarın bunları yok etme politikasına sahip olmasını sağlayacak bir politika uygulamadığını” iddia ediyor. 2020’de şirketin gizlilik politikası, tüketici verilerini potansiyel olarak paylaşabileceği üçüncü taraf türlerini geriye dönük olarak genişletecek şekilde değiştirildi.
Verilen bazı örnekler, süpermarket zincirleri ve besin/takviye üreticileridir. Şikâyete göre, daha önce kişisel verilerini şirketle paylaşmış olan tüketicilere bildirimde bulunulmasına ya da paylaşılması için onay alınmasına gerek yoktu.
Bundan sonra ne olacağı açısından, DNA firmasının FTC’nin tüketici geri ödemeleri için kullanacağı 75.000 $ ödemesi gerekiyor. Ek olarak, önerilen sipariş kapsamında şirket:
- Sağlık verilerinin (tüketiciler tarafından 2020 gizlilik politikası değişikliğinden önce ve sonra sağlanan bilgiler dahil) tüketicilerin olumlu açık rızası alınmadan üçüncü taraflarla paylaşılması yasaklanacaktır;
- 1Health’in işinin tamamını veya bir kısmını satın alan herhangi bir şirketin, siparişin hükümlerine uymayı sözleşme ile kabul etmesini sağlamalıdır;
- Tüketicilerin kişisel sağlık verilerinin izinsiz ifşası olaylarını FTC’ye bildirmelidir; Ve
- Şikayette belirtilen güvenlik hatalarını ele alan kapsamlı bir bilgi güvenliği programı uygulamalıdır.
Bütün bunlar, DNA silme gereksinimine ek olarak yapılır.
Rıza anlaşması paketi yakında canlı olarak yayınlanacak ve bu noktada halk, önerilen rıza kararının nihai hale getirilip getirilmediğine dair karardan önceki 30 gün boyunca yorum yapabilir.
Bu, insanların değerli DNA verilerini tüketici dostu gizlilik politikalarının yanı sıra en üst düzey güvenlik önlemlerini kullandıklarını iddia eden kuruluşlara teslim etme konusunda iki kez düşünmelerine neden olan bir durum olabilir. Büyük değişiklikler geriye dönük olarak uygulanabiliyorsa, risk altında olabilirsiniz. FTC’nin söyleyecekleri var:
“Gizlilik politikalarını yeniden yazarak oyunun kurallarını değiştirmeye çalışan şirketlere duyurulur. FTC Yasası, şirketlerin daha önce toplanan verilere tek taraflı olarak önemli gizlilik politikası değişikliklerini uygulamalarını yasaklar.”
Hem konumunuza hem de verilerinize sahip olduğunuz şirketin konumuna bağlı olarak, daha sonraki bir tarihte bir şeyler ters giderse FTC bu konuda bir şey yapamayabilir.
Sadece tehditler hakkında yazmıyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.