Hesap Devralma Dolandırıcılığı, İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgisayar Korsanları 20 Milyon Kod Parçasına Sahip Olduğunu İddia Ediyor; Soy Verileri Dark Web’e Sızdı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
9 Ekim 2023
Genetik test firması 23andMe, kullanıcı adları ve şifreleri daha önce başka web sitelerinde saldırıya uğrayan belirli müşterilerin soy DNA bilgilerinin veri sızıntısını araştırıyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Etkilenen veriler, 23andMe kullanıcılarını genetik uzak akrabalara veya DNA parçalarını paylaşan diğer 23andMe kullanıcılarına bağlayan şirketin DNA Relatives özelliğini kullanmayı seçen 23andMe kullanıcılarının profillerinden alınan bilgileri içeriyor.
Tehdit aktörleri geçen hafta dark web’de 23andMe’den “20 milyon parça kod” çaldıklarını iddia etmişti. Basında çıkan haberlere göre, satışa sunulan sızdırılan veriler, Bleeping Computer’a göre Aşkenazi Yahudi DNA soyuna sahip kişiler hakkında 1 milyon satırlık kod da dahil olmak üzere, belirli DNA köken geçmişine sahip 23andMe kullanıcılarına ait.
San Francisco merkezli test firması Cuma günü yaptığı açıklamada, şirketin DNA Akrabaları özelliğini seçen bireyler hakkındaki belirli profil bilgilerinin, kullanıcıların 23andMe hesaplarından izinsiz olarak tehdit aktörleri tarafından “derlendiğini” “yakın zamanda” öğrendiğini doğruladı.
23andMe, “Şüpheli faaliyeti öğrendikten sonra hemen bir soruşturma başlattık” dedi. Şirket, “Kullanıcıların oturum açma bilgilerini geri dönüştürdüğü durumlarda tehdit aktörlerinin belirli hesaplara erişebildiğine inanıyoruz; yani 23andMe.com’da kullanılan kullanıcı adları ve şifreler, daha önce saldırıya uğrayan diğer web sitelerinde kullanılanlarla aynıydı.” söz konusu.
Şirket, “Şu anda sistemlerimizde bir veri güvenliği olayının meydana geldiğine veya bu saldırılarda kullanılan hesap bilgilerinin kaynağının 23andMe olduğuna dair herhangi bir belirtiye sahip değiliz” dedi.
23andMe, tüketici verilerinin korunmasını sağlamak için sistemlerini “aktif ve rutin olarak” izleyip denetlediğini ekledi. “Bu süreçler aracılığıyla veya diğer kaynaklardan müşteri verilerine yetkisiz kişilerin eriştiğini iddia eden bilgiler aldığımızda, bu bilgilerin doğru olup olmadığını doğrulamak için derhal araştırma yaparız.”
23andMe sözcüsü, Bilgi Güvenliği Medya Grubu’nun olayla ilgili ek ayrıntı talebini reddetti. Sözcü, “Bu aktif bir soruşturma ve bu konuyla ilgili olarak kolluk kuvvetleriyle iletişim halindeyiz” dedi.
Şirket, kamuya yaptığı açıklamada, 2019’dan bu yana müşterilerine “ekstra bir güvenlik katmanı sağlayan ve kötü niyetli kişilerin geri dönüştürülmüş şifreler yoluyla bir hesaba erişmesini engelleyebilen” çok faktörlü kimlik doğrulamayı kullanmayı teklif ettiğini ve teşvik ettiğini söyledi.
Genetik test firması, güvenlik olayıyla ilgili bildiriminde kullanıcılara şifrelerini daha güçlü hale getirmelerini ve çok faktörlü kimlik doğrulamayı etkinleştirmelerini tavsiye ediyor.
İhlal Raporlamada Dikkat Edilecek Hususlar
Doğrudan tüketicileri tarafından sağlanan tükürük örnekleri aracılığıyla sağlık durumu yatkınlıkları, özellikleri ve soy takibi için genetik testler sunan 23andMe, HIPAA kapsamındaki bir kuruluş veya iş ortağı olarak kabul edilmez.
Dolayısıyla bazı uzmanlar, DNA bilgilerini içeren 23andMe güvenlik olayının bir HIPAA ihlali olarak kabul edilmeyeceğini, ancak diğer düzenleyici gerekliliklerin muhtemelen geçerli olacağını söyledi.
Doğrudan tüketiciye hizmet veren pek çok sağlık şirketi dahil olmak üzere HIPAA kapsamına girmeyen kuruluşlar, kendileri adına bilgi topladıkları ve sakladıkları eyaletlerin sakinleri için geçerli olan eyalet kanunlarının yanı sıra kendi dahili çevrimiçi gizlilik politikalarına ve şartlarına da uymak zorundadır. Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, kullanımın yararlı olduğunu söyledi.
“Eyalet başsavcıları, her biri kendi eyaletinin belirli sakinleri için geçerli eyalet gerekliliklerini uygular ve Federal Ticaret Komisyonu, bireylerin veri gizliliği konusunda hemfikir olduğu belirtilen kuruluş uygulamalarına uymamayı tartışmalı bir şekilde içeren aldatıcı ticari uygulamalarla ilgili olarak uygular. ve güvenlik” dedi.
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, yine de çeşitli kuruluşların kimlik bilgisi doldurma saldırılarının raporlanabilir ihlaller olup olmadığı konusunda farklı pozisyonlar aldığını söyledi.
“Bazıları, sisteme erişmek için geçerli kimlik bilgileri kullanıldığından raporlanabilir bir güvenlik ihlali olmadığı görüşünde. Diğerleri, hatanın öncelikli olarak ele geçirilen kimlik bilgilerinin yeniden kullanılması nedeniyle tüketicide olsa bile, kişisel bilgilere yetkisiz erişimin raporlanabilir bir ihlal olduğunu yorumluyor.” dedi.
Peters, kuruluşların kimlik bilgisi doldurma ve benzeri risklerin kurbanı olmayı nasıl önleyebileceklerine gelince, “çok faktörlü kimlik doğrulama, birçok nedenden dolayı sektördeki en iyi uygulamadır ancak aynı zamanda birçok nedenden dolayı kanunen gerekli değildir” dedi. “Yani sonuçta, MFA’nın kullanılması veya kullanılmaması, tüm kuruluşların en azından belgelemesi gereken risk temelli bir yaklaşımdır.”
Greene, kuruluşların kimlik bilgisi doldurma ve benzeri saldırılardan kaçınmak için başka adımlar da atması gerektiğini söyledi. Oturum açma sırasında CAPTCHA’nın kullanılması, aynı IP adresinden çok sayıda başarısız oturum açma modellerinin izlenmesi ve bu IP adresinin engellenmesi veya güvenliği ihlal edilmiş parolaları izleyen ve raporlayan sitelere karşı parola karmalarının kontrol edilmesi bunlara dahildir.