¿Qué sucede cuando una empresa pierde una gran cantidad de datos de usuario? Por lo general, se disculpan y tímidamente suplican perdón. No es así con 23andMe . La popular empresa de genómica, que sufrió violación de datos bastante terrible El año pasado, optó en cambio por decirles a los clientes enojados que probablemente deberían haber elegido una contraseña mejor si no querían. sus datos aumentados.
Para aclarar, 23andMe está actualmente siendo demandada (o, más exactamente, atacada legalmente) por un gran número de personas debido al hecho de que impulsa de las cuentas de usuario fueron vulneradas por criminales cibernéticos el año pasado. La noticia de la vulneración se conoció originalmente en octubre, cuando los datos de los clientes se publicaron para la venta en la web oscura. En ese momento, 23andMe le dijo al público que sólo alrededor de 14,000 cuentas Sin embargo, una investigación posterior reveló que, debido a una función interna de intercambio de datos vinculada a esas cuentas, el número real El número de personas afectadas fue probablemente algo así como 6,9 millones.
Entonces, sí, la gente está naturalmente bastante enojada y, como resultado, están tratando de demandar a la compañía. La palabra clave aquí es “intentar ”porque, debido a algunas inclusiones controvertidas en el acuerdo de términos de servicio de 23andMe, los litigios masivos (como una demanda colectiva) son bastante difíciles lograr. En cambio, los TOS de la empresa estipulan que los usuarios deben renunciar a la oportunidad de demandar a la empresa y, en su lugar, intentar realizar acciones “forzadas”. arbitraje”, un vía legal alternativa que los expertos afirman es muy ponderado a favor de corporaciones. Aún , varias demandas colectivas han sido archivados contra la empresa, aparentemente en un intento de anular su acuerdo original.
Con bastante humor, 23andMe no sólo está optando por permanecer fuera de los tribunales, sino que también parece negar que haya sido el principal malhechor. en la violación de datos. Caso en cuestión: el miércoles, TechCrunch reportado En una carta que la compañía de genómica había enviado a las oficinas legales de una de las firmas que manejan una demanda en su contra, Tycko & Zavareei LLP, en el que pareció negar las irregularidades y, en algunos casos, señaló con el dedo a los clientes afectados. carta, que fue enviado a las oficinas del bufete de abogados, dice en uno de esos pasajes:
“…los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe… Por lo tanto, el El incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe…”
En otras palabras, 23andMe parece estar diciendo que toda esta debacle de datos no es realmente culpa suya. Esto es consistente con lo que La empresa ha declarado anteriormente, que es que el verdadero culpable de todo el asunto fue la mala seguridad de la cuenta y que sus propios sistemas nunca fueron violada por los criminales. Sin embargo, los críticos han señalado que 23andMe probablemente debería haber exigido a los usuarios que usaran autenticación multifactor, un estándar de la industria. práctica de seguridad que no cumplió antes de la infracción. La empresa solo instituyó 2FA obligatoria después de los datos de los usuarios fueron robados.
En respuesta a la carta de 23andMe, el abogado Hassan Zavareei le dijo a Gizmodo que “23andMe renuncia a toda responsabilidad por la infracción y culpa descaradamente a sus clientes por la violación basándose en que los datos fueron robados a través de las cuentas de clientes que reciclaron credenciales de inicio de sesión de otros sitios”.
En una conversación telefónica, Zavareei también señaló el hecho de que 23andMe había actualizado recientemente sus TOS para hacer más oneroso el proceso de arbitraje. y difícil de navegar. Otro los expertos legales están de acuerdo que los cambios contractuales recientes de la compañía han hacido más difícil para los usuarios afectados unirse y perseguir un “arbitraje masivo”, un proceso eso sería más parecido a una demanda colectiva y, por lo tanto, más ventajoso y conveniente para las víctimas.
¿Existe alguna manera de eludir la cláusula de arbitraje? Según Zavareei, existen algunos escenarios hipotéticos en los que las víctimas podrían entablar un litigio tradicional.
“Ellos [23andMe] podrían recurrir al arbitraje y simplemente aceptar litigar ante los tribunales y no invocar la cláusula de arbitraje”, dijo Zavareei. No tiene ninguna indicación de que sea su intención. Podrían hacerlo si simplemente quisieran resolver todo de una vez en lugar de hacerlo. tener miles de [casos] de arbitraje”. El abogado también dijo que los demandantes en esos casos podrían “impugnar la cláusula de arbitraje y decir que la La cláusula de arbitraje es inaplicable. Hay una serie de argumentos [legales] que alguna vez pudieron hacer que la cláusula sea inaplicable y desmesurada”.
En otras palabras, 23andMe podría decidir arriesgarse a un proceso de litigio más tradicional si cree que sería más sencillo que manejar las unidades. y una multitud de arbitrajes individuales. O, hipotéticamente, los clientes afectados podrían impugnar la cláusula de arbitraje de la empresa. Dicho esto, ambas posibilidades no parecen particularmente probables.
Gizmodo se puso en contacto con 23andMe para hacer comentarios, pero no recibió respuesta. Actualizaremos esta historia si responde.
