Genetik test şirketi 23andMe, 2023 yılında bazı müşterilerinin isimleri, doğum yılları ve soyağacı bilgileri gibi bilgilerinin ifşa olmasıyla sonuçlanan bir veri ihlali nedeniyle açılan toplu dava için 30 milyon dolar ödeyecek.
Ekim 2023’te, 23andMe’ye yönelik kimlik doldurma saldırısının ardından yedi milyona kadar 23andMe müşterisine ait bilgilerin suç forumlarında satışa sunulduğunu bildirmiştik.
23andMe, siber suçluların, müşterilerin genetik akrabalarını bulup onlarla bağlantı kurmalarına olanak tanıyan isteğe bağlı bir hizmet olan DNA Yakınları özelliği aracılığıyla kullanıcıların paylaştığı profil bilgilerini çaldığını söyledi.
Aralık 2023’te 23andMe, bu ihlal sırasında bazı genetik ve sağlık verilerine erişilmiş olabileceğini kabul etti. Şirket, sorumluluktan kaçınmak için ihlalden etkilenenlerin yasal temsilcilerine bir mektup yazarak suçu kurbanların kendilerine yükledi.
23andMe ayrıca Çin ve Aşkenaz Yahudi kökenli müşterilerine, siber suçlunun özellikle onları hedef aldığını ve bilgilerini karanlık web’de satışa sunduğunu söylemeyi ihmal etti.
Ocak 2024’te müşteriler, şirketin gizliliklerini korumada başarısız olduğunu iddia ederek San Francisco mahkemesinde 23andMe’ye karşı toplu dava açtı. Bu davanın sonucu anlaşma oldu.
Anlaşmada hemen göze çarpan şey, bölümlerden birinin başlığıydı:
“ÇÖZÜM, GAYRETLİ SAVUNUCULUK VE USTALIKLI MÜZAKERELERİN SONUCUDUR”
Bu ne anlama geliyor? 23andMe’nin ödeyebileceği miktar 30 milyon dolar gibi görünüyor. Ve bunun tek nedeni, siber sigortanın 25 milyon doları karşılayacağı beklentisi.
Şirketin piyasa değeri düştü ve gelir azaldı. Bu düşüş olaydan önce de başlamıştı ancak durumu iyileştirmeye kesinlikle yardımcı olmadı.
Mahkeme henüz anlaşmayı onaylamadı ancak 23andMe’nin verileri tehlikeye atılan müşteriler için oluşturulan fona 30 milyon dolar ödemesi ve onlara kimlik ve genetik izleme sağlaması bekleniyor.
Kanada ve İngiltere gibi diğer ülkeler de veri ihlaliyle ilgili ortak bir soruşturma yürüteceklerini duyurdu.
Malwarebytes’ın verilerine göre, veri ihlalinden 3 milyondan fazla kişi etkilendi, dolayısıyla mağdurların hiçbiri bu anlaşma sayesinde zengin olmayı beklememeli.
Karanlık web’de veriler üç ayrı veri kümesinde satışa sunuluyor. 2.763.569 kayıt içeren genel bir küme, biri Aşkenazi tabanlı kullanıcılara ait (835.708 kayıt) ve biri de iddiaya göre Çin tabanlı 23andMe kullanıcılarına ait (68.541 kayıt).
Kişisel verilerinizin bu ihlal nedeniyle ifşa olup olmadığını öğrenmek istiyorsanız, ücretsiz Dijital Ayak İzi taramamızı kullanabilirsiniz. Merak ettiğiniz e-posta adresini girin (23andMe’ye kaydolurken kullandığınız adresi göndermeniz en iyisidir) ve size ücretsiz bir rapor gönderelim.
Sadece tehditleri rapor etmiyoruz; dijital kimliğinizin tamamını korumanıza yardımcı oluyoruzve
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak kendinizin ve ailenizin kişisel bilgilerini koruyun.