Genetik test şirketi 23andMe’nin ilk kez Ekim ayında bildirdiği bir veri ihlaliyle ilgili daha fazla ayrıntı ortaya çıkıyor. Ancak şirket daha fazla bilgi paylaştıkça durum daha da karmaşıklaşıyor ve sonuçları anlamaya çalışan kullanıcılar için daha fazla belirsizlik yaratıyor.
23andMe, Ekim ayının başında, saldırganların bazı kullanıcı hesaplarına sızdığını ve şirketin “DNA Akrabaları” olarak bilinen sosyal paylaşım hizmeti aracılığıyla daha büyük bir kullanıcı alt kümesinden kişisel verileri kazımak için bu erişimi engellediğini söyledi. O dönemde şirket kaç kullanıcının etkilendiğini belirtmemişti ancak bilgisayar korsanları suç forumlarında en az bir milyon 23andMe kullanıcısından ya da daha fazlasından alınmış gibi görünen verileri satmaya çoktan başlamıştı. Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) Cuma günü yaptığı başvuruda şirket, “tehdit aktörünün kullanıcı hesaplarının çok küçük bir yüzdesine (%0,1) erişebildiğini” veya şirketin son tahminine göre kabaca 14.000’e erişebildiğini söyledi. 14 milyondan fazla müşteri.
On dört bin kişi başlı başına çok fazla bir sayı ama bu sayı, saldırganın DNA Relatives’ten veri kazımasından etkilenen kullanıcıları hesaba katmıyordu. SEC dosyasında, olayın aynı zamanda “diğer kullanıcıların atalarına ilişkin profil bilgileri içeren önemli sayıda dosyayı” da içerdiği belirtildi.
Pazartesi günü 23andMe, TechCrunch’a, saldırganların DNA Akrabaları’nı seçen yaklaşık 5,5 milyon kişinin kişisel verilerinin yanı sıra “Aile Ağacı profil bilgilerine erişilen” ilave 1,4 milyon DNA Akrabaları kullanıcısından bilgi topladığını doğruladı. daha sonra bu genişletilmiş bilgiyi WIRED ile de paylaştı.
Bilgisayar korsanları, 5,5 milyon kişilik gruptan görünen adları, en son oturum açma bilgilerini, ilişki etiketlerini, tahmin edilen ilişkileri ve DNA Akrabalarının eşleşmeleriyle paylaşılan DNA yüzdesini çaldı. Bazı durumlarda, bu grup aynı zamanda ata raporları ve kendilerinin ve akrabalarının kromozomlarının neresinde eşleşen DNA’ya sahip olduklarına ilişkin ayrıntılar, kendi bildirdikleri konumlar, atalarının doğum yerleri, aile adları, profil resimleri, doğum yılları, bağlantılar gibi başka veriler de ele geçirilmiştir. kendi yarattığınız aile ağaçları ve diğer profil bilgileri. Etkilenen 1,4 milyon DNA Akrabaları kullanıcısının daha küçük (ama yine de büyük) alt kümesinin özellikle görünen adları ve ilişki etiketleri çalındı ve bazı durumlarda doğum yılları ve kendi bildirdiği konum verileri de etkilendi.
Bu genişletilmiş bilginin neden SEC dosyasında yer almadığı sorulduğunda, 23andMe sözcüsü Katie Watson, WIRED’e şunları söylüyor: “Sadece SEC dosyasında yer alan bilgileri daha spesifik sayılar sağlayarak detaylandırıyoruz.”