Kanada ve Birleşik Krallık’taki gizlilik yetkilileri, geçen yılki 23andMe veri ihlalinde açığa çıkan hassas müşteri bilgilerinin kapsamını değerlendirmek için ortak bir soruşturma başlattı.
Kanada Gizlilik Komiseri ve Bilgi Komiseri Ofisi (ICO), şirketin sistemlerinde depolanan müşteri verilerinin güvenliğini sağlamak için yeterli güvenlik önlemlerine sahip olup olmadığını da inceleyecek.
Ortak soruşturma ayrıca 23andMe’nin etkilenen bireyleri ve gizlilik düzenleyicilerini Kanada ve Birleşik Krallık gizlilik ve veri koruma yasalarının gerektirdiği şekilde uyarıp uyarmadığını da inceleyecek.
Kanada Gizlilik Komiseri, “Yanlış ellerde, bir bireyin genetik bilgisi gözetim veya ayrımcılık amacıyla kötüye kullanılabilir. Kişisel bilgilerin kötü niyetli aktörlerin saldırılarına karşı yeterince korunmasını sağlamak, Kanada’daki ve dünya çapındaki gizlilik yetkililerinin önemli bir odak noktasıdır” dedi. Philippe Dufresne.
Birleşik Krallık Bilgi Komiseri John Edwards, “İnsanların, en hassas kişisel bilgilerini kullanan herhangi bir kuruluşun uygun güvenlik ve koruma önlemlerine sahip olduğuna güvenmesi gerekiyor.” diye ekledi.
“Bu veri ihlalinin uluslararası bir etkisi oldu ve Birleşik Krallık’taki kişilerin kişisel bilgilerinin korunmasını sağlamak için Kanadalı meslektaşlarımızla işbirliği yapmayı dört gözle bekliyoruz.”
Kimlik bilgileri doldurma saldırısında 23andMe hesapları ihlal edildi
Ocak ayında, genetik test sağlayıcısı 23andMe, saldırganların 29 Nisan’dan 27 Eylül’e kadar beş aylık bir kimlik bilgisi doldurma saldırısında etkilenen müşterilerin sağlık raporlarını ve ham genotip verilerini çaldığını doğruladı.
Saldırganlar, 23andMe hesaplarını ihlal etmek için diğer veri ihlallerinden veya ele geçirilen çevrimiçi platformlardan çalınan kimlik bilgilerini kullandı.
10 Ekim’de saldırının tespit edilmesi üzerine 23andMe, tüm müşterilerinin şifrelerini sıfırlamasını talep etmeye başladı. 6 Kasım’dan bu yana tüm yeni ve mevcut müşteriler için iki faktörlü kimlik doğrulama varsayılan olarak etkindir.
Şirket, etkilenen kişilere gönderilen veri ihlali bildirim mektuplarında, çalınan bazı verilerin BreachForums hack forumunda ve resmi olmayan 23andMe alt dizininde yayınlandığını açıkladı.
Sızan bilgiler arasında Birleşik Krallık’ta yaşayan 4,1 milyon kişinin ve 1 milyon Aşkenazi Yahudisinin verileri yer alıyordu.
23andMe, Aralık ayında BleepingComputer’a, tehdit aktörlerinin yaklaşık 14.000 kullanıcı hesabını ihlal ettikten sonra 14 milyon müşteriden 6,9 milyonuna ait verileri indirdiğini söyledi.
Yaklaşık 5,5 milyon kişinin verileri DNA Akrabaları özelliği aracılığıyla, 1,4 milyon kişinin ise Soy Ağacı özelliği aracılığıyla verileri kazındı.
Olay nedeniyle 23andMe’ye karşı çok sayıda dava açıldı ve bu durum şirketin, müşterilerin toplu davalara katılmasını zorlaştırmak için 30 Kasım’da Kullanım Şartlarını güncellemesine yol açtı.
Ancak 23andMe, değişikliklerin tahkim sürecini daha verimli ve müşterilerin anlayabileceği şekilde daha erişilebilir hale getirmek için yapıldığını belirtti.