DNA testi devi 23andMe, 2023 yılında 6,4 milyon müşterinin kişisel bilgilerinin ifşa olmasına yol açan bir veri ihlali nedeniyle açılan davayı çözmek için 30 milyon dolar ödemeyi kabul etti.
Perşembe günü San Francisco federal mahkemesine sunulan ve yargı onayı bekleyen önerilen toplu dava anlaşması, etkilenen müşterilere nihai onaydan itibaren on gün içinde dağıtılacak nakit ödemeleri içeriyor.
Şirket, Cuma günü sunduğu muhtırada, “23andMe, anlaşmanın adil, yeterli ve makul olduğuna inanıyor” dedi.
23andMe ayrıca kimlik bilgisi doldurma saldırılarına karşı koruma, tüm kullanıcılar için zorunlu iki faktörlü kimlik doğrulama ve yıllık siber güvenlik denetimleri de dahil olmak üzere güvenlik protokollerini güçlendirmeyi kabul etti.
Şirket ayrıca bir veri ihlali olay yanıt planı oluşturmalı ve sürdürmeli ve etkin olmayan veya devre dışı bırakılmış hesaplar için kişisel verileri saklamayı bırakmalıdır. Güncellenmiş bir Bilgi Güvenliği Programı da yıllık eğitim oturumları sırasında tüm çalışanlara sağlanacaktır.
Şirket, sunulan ön anlaşmada, “23andMe, Şikayette ileri sürülen iddiaları ve suçlamaları reddediyor, tüketicilerinin ve kullanıcılarının Kişisel Bilgilerini uygun şekilde korumada başarısız olduğu iddiasını reddediyor ve ayrıca Uzlaşma Sınıfı Temsilcilerinin yasal zararlar için yaptığı taleplerin geçerliliğini reddediyor” dedi.
“23andMe herhangi bir yanlış yapmayı reddeder ve bu Sözleşme hiçbir durumda 23andMe’nin herhangi bir hata, yükümlülük, yanlış yapma veya zarar iddiasıyla ilgili bir kanıt veya bir kabul veya taviz olarak yorumlanmayacak veya kabul edilmeyecektir.”
Bu anlaşma, genetik test şirketinin kullanıcıların gizliliğini korumada başarısız olduğu ve müşterileri, bilgisayar korsanlarının özellikle kendilerini hedef aldığı ve bilgilerinin karanlık web’de satışa sunulduğu yönündeki bilgilendirmeyi ihmal ettiği iddialarına yönelik.
Kimlik bilgisi doldurma saldırısının ardından veriler çalındı
Ekim 2023’te 23andMe, müşteri profillerine yetkisiz erişimin tehlikeye atılmış hesaplar aracılığıyla gerçekleştiğini ortaya çıkardı. Bilgisayar korsanları, 23andMe hesaplarına erişmek için diğer ihlallerden çalınan kimlik bilgilerini kullandı.
Şirket, ihlali keşfettikten sonra benzer olayları engellemek için önlemler uygulamaya koydu; bunlar arasında müşterilerden parolalarını sıfırlamalarını istemek ve Kasım ayından itibaren varsayılan olarak iki faktörlü kimlik doğrulamayı etkinleştirmek yer alıyor.
Ekim ayından itibaren tehdit grupları, Birleşik Krallık’taki 4,1 milyon kişiye ve 1 milyon Aşkenazi Yahudisine ait veri profillerini resmi olmayan 23andMe subreddit’inde ve BreachForums gibi bilgisayar korsanlığı forumlarında sızdırdı.
23andMe, Aralık ayında BleepingComputer’a yaptığı açıklamada, ihlalde 6,4 milyon ABD sakinine ait bilgiler de dahil olmak üzere 6,9 milyon müşteriye ait verilerin indirildiğini söyledi.
Şirket, Ocak ayında ayrıca saldırganların Nisan-Eylül ayları arasında beş aylık kimlik doldurma saldırısıyla sağlık raporlarını ve ham genotip verilerini çaldığını doğruladı.
Veri ihlali, çok sayıda toplu davaya yol açtı ve 23andMe’yi Kasım 2023’te Kullanım Şartlarını değiştirmeye yöneltti; bu hareket müşteriler tarafından eleştirildi. Şirket daha sonra değişikliklerin tahkim sürecini basitleştirmeyi amaçladığını açıkladı.