Şaşırtıcı bir hareketle, son 23andMe veri ihlali mağdurlarının yasal temsilcilerine yazdığı bir mektupta şirket, suçu bizzat mağdurlara yükledi.
23andMe, bunun 23andMe’de kesinlikle bir veri ihlali olmadığını iddia edecek kadar ileri gidiyor. Gerekçe:
“… yetkisiz aktörler, kullanıcıların kendi oturum açma kimlik bilgilerini geri dönüştürdüğü durumlarda belirli kullanıcı hesaplarına erişmeyi başardı; yani kullanıcılar, daha önce güvenlik ihlallerine maruz kalan diğer web sitelerinde olduğu gibi 23andMe.com’da kullanılan kullanıcı adlarını ve şifreleri kullandılar ve kullanıcılar 23andMe ile ilgisi olmayan geçmiş güvenlik olaylarının ardından ihmalkar bir şekilde geri dönüştürülmüş ve şifreleri güncellenememiştir.”
Başka bir deyişle, geçmişte ihlal edilen hizmetler için şifrelerini yeniden kullandıkları için bu onların hatasıydı. Bir web sitesindeki hesaplara, başka bir sitede gösterilen kullanıcı adı ve şifre listelerini kullanarak erişmeye “kimlik bilgisi doldurma” denir ve bu hem yaygın hem de etkilidir. Bu işe yarıyor çünkü kullanıcılar genellikle birden fazla web sitesi için aynı şifreyi kullanıyor.
23andMe’nin unutmuş gibi göründüğü şey, kimlik bilgileri doldurma yoluyla yalnızca 14.000 hesabın ihlal edildiğidir. Daha sonra saldırganlar, 23andMe’nin kullanıcıları genetik akrabalarıyla eşleştiren DNA Relatives özelliği aracılığıyla bu hesapları kullanarak çok daha büyük bir veri yığınına erişti.
Yani yalnızca 23andMe’nin mümkün kıldığı şey, şifrelerini yeniden kullanmayan ve hatta 2FA’yı etkinleştirmiş olan müşteriler verilerinin çalındığını görmeye devam etti. Bu, yedi milyon kadar 23andMe müşterisinin verilerinin suç forumlarında satışa sunulmasıyla sonuçlandı.
Bu, şirketin olayı küçümsemeye çalıştığı ikinci sefer. Olayla ilgili ilk iletişiminde 23andMe, çalınan verilerin genomik sıralama verilerini içermediğini iddia etti. Daha sonra şirket, bu hesapların bir alt kümesi için çalınan verilerin aslında kullanıcının genetiğine dayalı sağlıkla ilgili bilgiler içerebileceğini kabul etti.
BleepingComputer tarafından bulunan bir dosyadaki veriler, 23andMe kullanıcılarının hesap kimlikleri, tam adları, cinsiyeti, doğum tarihi, DNA profilleri, konumu ve bölge ayrıntıları gibi bilgileri içeriyordu.
Sonuç olarak, Kaliforniya’da 23andMe’nin müşteri verilerini korumadaki başarısızlığından kaynaklanan zararın telafisi amacıyla en az dört toplu dava şikayeti sunuldu. Davalar, 23andMe’nin hassas verilerin güvenliğini koruma, olayla ilgili uygun şekilde iletişim kurma ve anormal faaliyetlere karşı ağını izleme konusundaki farklı başarısızlıklarına odaklanıyor.
23andMe, savunmasında, müşterilerin şifrelerini yeniden kullandıklarını gerekçe göstererek, verilerin paylaşılmasına izin verdi. diğer kullanıcılar 23andMe platformunda ve tıbbi bilgilerin asılsız olduğunu söyledi.
23andMe’nin mantığındaki bir kusura dikkat çekmek için “diğer kullanıcılar”a vurgu yaptım; diğer kullanıcılarla paylaşmayı kabul etmek, bir veri hırsızıyla paylaşmayı kabul etmekle pek aynı şey değildir. Ne olduğuna dair kesin ayrıntıları bilmesek de, izlemenin gerçekten de anormal faaliyetlere ilişkin uyarıları artıracağını ve ihlalin daha erken durdurulmasına olanak sağlayacağını düşünüyoruz. Şimdi göründüğü gibi, 23andMe ancak birisi verileri satışa sunduğunda sorunun farkına vardı.
Jüri sonunda ne karar verirse versin, 23andMe’nin müşterilerinin mahremiyetine ve verilerin hassasiyet düzeyine büyük ölçüde aldırış etmediği görülüyor.
Veri ihlali
Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
- Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak herhangi bir kişiyi doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kimlik izlemeyi ayarlayın.Kimlik izleme, kişisel bilgilerinizin yasa dışı olarak çevrimiçi olarak alınıp satıldığı tespit edilirse sizi uyarır ve daha sonra kurtarmanıza yardımcı olur.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruzsen
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Kimlik Hırsızlığı Korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.