Các dịch vụ xét nghiệm di truyền có thể hé lộ vô vàn thông tin thú vị về bản thân bạn, từ nguồn gốc tổ tiên đến nguy cơ mắc bệnh. Tuy nhiên, để đổi lấy những kiến thức này, bạn phải trao đi những dữ liệu cá nhân cực kỳ nhạy cảm. Việc thông tin gen của bạn bị rao bán trên dark web không phải là chuyện đùa, và thật không may, đây chính xác là những gì đang xảy ra sau một vụ vi phạm dữ liệu nghiêm trọng từ một dịch vụ di truyền lớn.
Dữ Liệu Di Truyền Của Bạn Đang Bị Rao Bán Trực Tuyến
Công ty xét nghiệm DNA 23andMe đã phải hứng chịu một vụ rò rỉ dữ liệu quy mô lớn vào năm 2023, dẫn đến việc hàng triệu khách hàng bị lộ thông tin di truyền. Tin tặc đã đột nhập thành công vào 14.000 tài khoản cá nhân và lấy đi dữ liệu liên quan đến khoảng 6,9 triệu người được liệt kê là có thể có quan hệ họ hàng trên trang web của hãng.
Dữ liệu bị đánh cắp bao gồm hàng loạt thông tin cá nhân nhạy cảm:
- Tên đầy đủ
- Ngày sinh
- Thông tin địa lý
- Ảnh hồ sơ
- Chủng tộc
- Báo cáo sức khỏe
- Dân tộc
- Cây gia phả
Sau vụ rò rỉ dữ liệu chấn động này, Văn phòng Uỷ viên Thông tin Vương quốc Anh (ICO) và Văn phòng Uỷ viên Quyền riêng tư Canada (OPC) đã cùng nhau công bố một cuộc điều tra chung vào tháng 6 năm 2024. Một năm sau, cuộc điều tra đã kết thúc với án phạt 2,31 triệu bảng Anh (khoảng 3,13 triệu USD) dành cho 23andMe vì “vi phạm gây tổn hại sâu sắc”, theo công bố của ICO.
Logo của 23andMe trên trang web chính thức, sau vụ rò rỉ dữ liệu di truyền gây chấn động.
Cuộc điều tra cũng chỉ ra những sai sót nghiêm trọng trong hệ thống bảo mật của 23andMe tại thời điểm xảy ra vụ việc. Công ty đã không áp dụng các biện pháp xác thực phù hợp, thiếu xác thực đa yếu tố (MFA) bắt buộc và có yêu cầu về mật khẩu lỏng lẻo. 23andMe cũng không có bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu gen thô, đồng thời thiếu “hệ thống hiệu quả để giám sát, phát hiện hoặc phản hồi các mối đe dọa mạng nhắm vào thông tin nhạy cảm của khách hàng”.
Ông John Edwards, Uỷ viên Thông tin Vương quốc Anh, đã tóm tắt tình hình một cách rõ ràng:
23andMe đã không thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đủ, các dấu hiệu cảnh báo đã hiện hữu, và công ty đã chậm trễ trong việc phản ứng. Điều này khiến dữ liệu nhạy cảm nhất của mọi người dễ bị lợi dụng và gây hại.
Thái độ thờ ơ của 23andMe trong việc thừa nhận vi phạm cũng bị chỉ trích. Vụ rò rỉ bắt đầu từ tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận vi phạm và bắt đầu một cuộc điều tra đầy đủ cho đến tháng 10 năm 2023, khi một nhân viên phát hiện dữ liệu bị đánh cắp đang được rao bán trên Reddit.
Bảo Vệ Dữ Liệu Cá Nhân: Trách Nhiệm Bắt Đầu Từ Bạn
Không giống như mật khẩu hay các thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu, bạn không thể đơn giản thay đổi dữ liệu di truyền của mình. Một khi dữ liệu này đã bị lộ ra ngoài, về cơ bản bạn đã bị tổn hại vĩnh viễn.
Vì vậy, trong trường hợp này, dù không có nhiều điều bạn có thể làm ngoài việc cảnh giác cao độ với bất kỳ nỗ lực lừa đảo hoặc đánh cắp danh tính nào, bạn vẫn có thể cố gắng tự bảo vệ mình khỏi các vi phạm trong tương lai. Việc thiết lập xác thực đa yếu tố (MFA) cho các tài khoản trực tuyến và sử dụng mật khẩu mạnh, duy nhất cho mỗi tài khoản là những bước cơ bản nhất bạn nên thực hiện để bảo vệ dấu chân kỹ thuật số của mình, bất kể nhà cung cấp dịch vụ có bắt buộc hay không. Ngoài ra, bảo vệ điểm tín dụng của bạn nếu bị ảnh hưởng bởi rò rỉ dữ liệu cũng là một điều quan trọng cần lưu ý.
Hơn nữa, hãy cố gắng tránh sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm ngay từ đầu. Chắc chắn, việc tìm hiểu về nguồn gốc tổ tiên nghe có vẻ thú vị, nhưng sự tò mò này không đáng để đánh đổi với thông tin di truyền cực kỳ nhạy cảm, thứ có thể bị sử dụng cho mọi loại mục đích xấu. Hãy luôn đặt quyền riêng tư và an toàn dữ liệu của bản thân lên hàng đầu khi sử dụng các dịch vụ công nghệ.
