Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Milyonlarca Müşteriye Dark Web’de Genetik Verilerin İzlenmesi de Sunulacak
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
24 Eylül 2024
Yaklaşık 40 adet birleştirilmiş toplu dava için önerilen 30 milyon dolarlık anlaşma kapsamında, genetik test firması 23andMe, 2023 yılında gerçekleşen kimlik doldurma olayında hassas bilgileri tehlikeye giren milyonlarca kişiye nakit ödeme yapacak.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Etkilenen müşterilere ayrıca kimlik ve kredi takibinin yanı sıra genetik verilerinin ifşa edilmesi için karanlık web taramalarını da içeren üç yıl boyunca ücretsiz izleme hizmetleri sunulacak.
Önerilen anlaşma 12 Eylül’de Kuzey Kaliforniya federal mahkemesine sunuldu ve 17 Ekim’de ön duruşma yapılması planlanıyor.
23andMe, Information Security Media Groups’a yaptığı açıklamada, anlaşmanın yaklaşık 25 milyon dolarlık kısmının ve ilgili yasal masrafların siber sigorta poliçesi tarafından karşılanmasını beklediğini belirtti.
“Bu anlaşmanın 23andMe müşterilerinin en büyük çıkarına olduğuna inanmaya devam ediyoruz ve anlaşmayı sonuçlandırmayı sabırsızlıkla bekliyoruz.”
Şirket, ISMG’nin sınıf üyelerine potansiyel olarak teklif edilecek nakit miktarı da dahil olmak üzere daha fazla ayrıntı talebini reddetti. Açıklamada, “Özellikle anlaşma resmi olarak onaylanmadığı için bu konuda yorum yapamayız” denildi.
23andMe, Ekim 2023’ün başlarında şirketin bir tehdit aktörünün kimlik bilgisi doldurma yoluyla “seçilmiş sayıda” 23andMe.com hesabına eriştiğini öğrendiğini söyledi. 23andMe, korsanın şirketin mevcut 14 milyon 23andMe müşterisinin %1’inden az olan yaklaşık 14.000 kullanıcı hesabına erişebildiğini söyledi (bkz: 23andMe Görünür Kimlik Bilgisi Doldurma Saldırısını Araştırıyor).
“Tehdit aktörü, ele geçirilen kimlik bilgileriyle doldurulmuş hesapları kullanarak, önemli sayıda DNA Yakınları profilindeki (yaklaşık 5,5 milyon) ve Aile Ağacı özellik profillerindeki (yaklaşık 1,4 milyon) bilgilere erişti; bunların her biri ele geçirilen hesaplarla bağlantılıydı.
Tehdit aktörleri geçen yıl karanlık web’de 23andMe’den “20 milyon parça kod” çaldıklarını iddia ettiler. Medya raporlarına göre, satışa sunulan sızdırılan veriler, Aşkenazi Yahudi DNA kökenine sahip kişiler hakkında 1 milyon satır kod da dahil olmak üzere belirli DNA köken geçmişine sahip 23andMe kullanıcılarına aitti (bkz: 23andMe, Bilgisayar Korsanlarının 6,9 Milyon Kullanıcının Soy Verilerini Çaldığını Söyledi).
Önerilen anlaşmaya göre, sınıf anlaşması üyelerine Pango Holdings’in bir parçası olan bağımsız bir işletme şirketi olan CyEx tarafından üç yıl boyunca ücretsiz “Gizlilik ve Tıbbi Koruma + Genetik İzleme” hizmeti sunulacak.
Önerilen anlaşmayla birlikte mahkemeye sunulan bir belgede, bir CyEx yöneticisi, Gizlilik ve Tıbbi Kalkan + Genetik İzleme hizmetinin “CyEx tarafından özellikle 23andMe sınıfı üyeleri için tasarlanıp oluşturulduğunu ve veri ihlali veya güvenlik olayı mağdurlarına daha önce hiç sağlanmayan çok sayıda özelliği içerdiğini” söyledi.
İzleme hizmetleri listesinde, “Karanlık ağda ifşa edilebilecek, satışa sunulabilecek veya ticareti yapılabilecek Yerleşim Sınıfı Üyelerinin hassas verilerinin yer aldığı 17 benzersiz veri kategorisi” için karanlık ağ izleme hizmeti de yer alıyor.
“Buna, yerleşim sınıfı üyelerine özgü, satış veya ticaret amaçlı olabilecek genetikle ilgili verileri karanlık ağda tarayacak özel olarak tasarlanmış izleme kapasitesi” de dahildir.
Mahkeme belgesinde, “Genetikle ilgili veriler bulunursa, CyEx, olası azaltma çabalarını belirlemek için bir iyileştirme uzmanıyla görüşmek üzere müşteri desteğiyle iletişime geçebilecek uzlaşma sınıfı üyesini uyaracaktır” denildi.
23andMe’ye karşı açılan düzinelerce toplu dava önerisi, şirketin sorumlulukları doğrultusunda kişisel bilgileri gerektiği gibi korumadığı, yetersiz veri güvenliği protokollerine sahip olduğu ve çeşitli eyalet genetik bilgi gizliliği yasalarını ve diğer eyalet tüketici yasalarını ihlal ettiği gibi iddiaları içeriyordu.
Uzlaşma anlaşmasının bir parçası olarak 23andMe’nin uzlaşma fonundan ödenmeyecek uzun bir güvenlik iyileştirmeleri listesi uygulaması gerekiyor.
Listede, gelişmiş parola korumasının uygulanması, çok faktörlü kimlik doğrulamanın zorunlu hale getirilmesi, yıllık siber güvenlik taramaları ve denetimleri yapılması, kapsamlı bir veri güvenliği programının oluşturulması ve etkin olmayan veya devre dışı bırakılmış müşterilere ait bilgilerin uygun bir süreden daha uzun süre saklanmaması için bir veri saklama politikasının uygulanması yer alıyor.