İngiliz ve Kanadalı gizlilik otoriteleri, küresel genetik test şirketi 23andMe’de Ekim 2023’te keşfedilen veri ihlaline ilişkin ortak bir soruşturma başlatacaklarını duyurdular.
6 Ekim 2023 Cuma günü 23andMe, biraz şeffaf olmayan bir blog yazısı aracılığıyla siber suçluların “belirli hesaplardan, kullanıcıların DNA Akraba profilleri hakkındaki bilgiler de dahil olmak üzere bilgi elde ettiğini” doğruladı.
Daha sonra 23andMe tarafından yapılan bir araştırma, bir saldırganın 23andMe kullanıcılarının yaklaşık %0,1’inin, yani 14 milyon müşterisinin yaklaşık 14.000’inin hesaplarına doğrudan erişebildiğini gösterdi. Saldırgan, hesaplara, birinin bir hizmette oturum açıp açamayacağını görmek için mevcut kullanıcı adı ve şifre kombinasyonlarını denediği kimlik bilgileri doldurma yöntemini kullanarak erişti. Bu kombinasyonlar genellikle başka bir ihlalden çalınır ve ardından karanlık ağda satışa sunulur. İnsanlar şifreleri sıklıkla hesaplar arasında yeniden kullandığından, siber suçlular bu kombinasyonları satın alıyor ve bunları diğer hizmet ve platformlarda oturum açmak için kullanıyor.
Bu hesapların bir alt kümesi için çalınan veriler, kullanıcının genetiğine dayalı sağlıkla ilgili bilgiler içeriyordu.
Verilerin çoğuna kimlik bilgisi doldurma yoluyla erişildiğinin ortaya çıkması, 23andMe’nin mağdurların yasal temsilcilerine mağdurları suçlayan bir mektup göndermesine yol açtı.
Kanada Gizlilikten Sorumlu Komisyon Üyesi Philippe Dufresne ve Birleşik Krallık Bilgiden Sorumlu Komisyon Üyesi John Edwards, 23andMe ihlalini ortaklaşa araştıracaklarını ve iki ofisin ortak kaynaklarından ve uzmanlığından yararlanacaklarını söyledi.
Gizlilik gözlemcileri şunları araştıracak:
- İhlal nedeniyle açığa çıkan bilgilerin kapsamı ve etkilenen bireylere gelebilecek potansiyel zararlar;
- 23andMe’nin kontrolü altındaki son derece hassas bilgileri korumak için yeterli güvenlik önlemlerine sahip olup olmadığı; Ve
- Şirketin Kanada ve Birleşik Krallık gizlilik ve veri koruma yasalarının gerektirdiği şekilde iki düzenleyiciye ve etkilenen kişilere ihlal hakkında yeterli bildirimde bulunup bulunmadığı.
Ortak soruşturma, Taraflar arasındaki Mutabakat Zaptı uyarınca yürütülecek. ICO Ve OPC.
Açığa çıkan kişisel verilerinizi tarayın
Dijital Ayak İzi portalımızı kullanarak hangi kişisel bilgilerinizin çevrimiçi ortamda açığa çıktığını kontrol edebilirsiniz. Ücretsiz Dijital Ayak İzi taramamıza e-posta adresinizi girmeniz yeterli (en sık kullandığınız adresi göndermek en iyisidir), size bir rapor vereceğiz. Verileriniz 23andMe ihlalinin bir parçasıysa size haber vereceğiz.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruzsen
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun.