Các dịch vụ xét nghiệm di truyền mang đến khả năng khám phá nguồn gốc và sức khỏe tiềm ẩn của bạn. Tuy nhiên, để nhận được những thông tin này, bạn phải trao đi những dữ liệu cá nhân vô cùng nhạy cảm. Việc dữ liệu di truyền bị rao bán trên Dark Web không phải là chuyện đùa, và đáng tiếc, điều đó đang xảy ra do một vụ rò rỉ dữ liệu của dịch vụ xét nghiệm di truyền 23andMe. Sự cố này một lần nữa gióng lên hồi chuông cảnh tỉnh về tầm quan trọng của bảo mật dữ liệu di truyền và trách nhiệm của các công ty công nghệ.
Hàng Triệu Dữ Liệu Di Truyền Bị Rao Bán Trực Tuyến
Vào năm 2023, công ty xét nghiệm DNA 23andMe đã hứng chịu một vụ rò rỉ dữ liệu quy mô lớn, làm lộ thông tin di truyền của hàng triệu khách hàng. Kẻ tấn công đã xâm nhập thành công 14.000 tài khoản cá nhân, từ đó thu thập được thông tin liên quan đến khoảng 6,9 triệu cá nhân được liệt kê là có thể có quan hệ huyết thống trên trang web của 23andMe.
Các loại dữ liệu cá nhân bị đánh cắp bao gồm:
- Tên
- Ngày sinh
- Thông tin địa lý
- Ảnh đại diện
- Chủng tộc
- Báo cáo sức khỏe
- Sắc tộc
- Cây phả hệ
Sau vụ rò rỉ thông tin nhạy cảm này, Văn phòng Uỷ viên Thông tin Anh (ICO) và Văn phòng Uỷ viên Quyền riêng tư Canada (OPC) đã công bố một cuộc điều tra chung về vụ việc vào tháng 6 năm 2024. Một năm sau, cuộc điều tra đã đi đến kết luận với mức phạt 2,31 triệu bảng Anh (tương đương 3,13 triệu USD) đối với 23andMe vì “vi phạm gây tổn hại sâu sắc”, theo thông báo chính thức từ ICO.
Logo 23andMe trên trang web chính thức, biểu tượng của dịch vụ xét nghiệm DNA bị rò rỉ dữ liệu
Cuộc điều tra cũng chỉ ra nhiều sai sót nghiêm trọng về bảo mật tại thời điểm xảy ra vụ việc. Công ty đã không áp dụng các biện pháp xác thực phù hợp, điển hình là việc thiếu xác thực đa yếu tố (MFA) bắt buộc và yêu cầu mật khẩu lỏng lẻo. Đáng chú ý, 23andMe cũng không có bất kỳ biện pháp nào để ngăn chặn việc truy cập và tải xuống dữ liệu di truyền thô, đồng thời không sở hữu “hệ thống hiệu quả để giám sát, phát hiện hoặc phản ứng với các mối đe dọa an ninh mạng nhắm vào thông tin nhạy cảm của khách hàng”.
John Edwards, Uỷ viên Thông tin Anh, đã nhận định rõ ràng: “23andMe đã thất bại trong việc thực hiện các bước cơ bản để bảo vệ thông tin này. Hệ thống bảo mật của họ không đủ mạnh, các dấu hiệu cảnh báo đã có, và công ty đã phản ứng chậm trễ. Điều này khiến dữ liệu nhạy cảm nhất của người dùng dễ bị khai thác và gây hại.”
Thái độ chậm trễ của 23andMe trong việc thừa nhận vụ việc cũng bị chỉ trích gay gắt. Vụ rò rỉ thực tế bắt đầu từ tháng 4 năm 2023 và kéo dài đến tháng 5 năm 2023. Tuy nhiên, công ty đã không xác nhận và khởi động một cuộc điều tra đầy đủ cho đến tận tháng 10 năm 2023, khi một nhân viên phát hiện dữ liệu bị đánh cắp đang được rao bán công khai trên Reddit.
Tự Bảo Vệ Dữ Liệu Cá Nhân: Trách Nhiệm Từ Chính Bạn
Không giống như mật khẩu và các thông tin khác thường bị rò rỉ trong các vụ vi phạm dữ liệu, bạn không thể đơn giản thay đổi dữ liệu di truyền của mình. Một khi thông tin này đã bị lộ ra ngoài, về cơ bản, sự riêng tư của bạn đã bị tổn hại vĩnh viễn.
Vì vậy, mặc dù trong trường hợp này, bạn không thể làm gì nhiều ngoài việc cảnh giác với mọi nỗ lực lừa đảo hoặc đánh cắp danh tính, bạn vẫn có thể chủ động bảo vệ mình khỏi các vụ rò rỉ trong tương lai. Thiết lập MFA cho tất cả các tài khoản trực tuyến và sử dụng mật khẩu mạnh, độc đáo cho mỗi tài khoản là những bước cơ bản và tối quan trọng mà bạn nên thực hiện để bảo vệ dấu chân kỹ thuật số của mình, bất kể nhà cung cấp dịch vụ có bắt buộc hay không.
Ngoài ra, hãy cân nhắc kỹ lưỡng và cố gắng tránh sử dụng các dịch vụ trực tuyến yêu cầu quá nhiều thông tin nhạy cảm ngay từ đầu. Chắc chắn, việc tìm hiểu về tổ tiên hoặc những chi tiết thú vị về bản thân nghe có vẻ hấp dẫn, nhưng sự tò mò này không đáng để đánh đổi với thông tin di truyền cực kỳ nhạy cảm có thể bị sử dụng cho đủ loại mục đích xấu và nguy hiểm.
Vụ rò rỉ dữ liệu của 23andMe là một lời cảnh tỉnh nghiêm trọng về tầm quan trọng của bảo mật dữ liệu cá nhân, đặc biệt là những thông tin không thể thay đổi như dữ liệu di truyền. Cộng đồng người dùng công nghệ tại Việt Nam cần nâng cao cảnh giác và chủ động áp dụng các biện pháp bảo vệ bản thân trên không gian mạng. Hãy chia sẻ bài viết này để cùng nhau nâng cao nhận thức về an toàn thông tin và bảo vệ quyền riêng tư của chính mình!
