DNA test şirketi 23andMe zorlu birkaç ay geçirdi; ilk olarak Ekim ayında verilerin ihlal edildiğini bildirmişti ve şimdi de müşterilerin şirkete karşı yasal işlem başlatması nedeniyle bu ihlallere yanıt veriliyor. Neredeyse tuhaf bir değişiklikle 23andMe, bir mektupta Kaliforniya Gizlilik Hakları Yasası (CRPA) kapsamında şirkete karşı yasal işlem başlatmak üzere harekete geçen davacıların aslında CRPA kapsamındaki herhangi bir güvenlik ihlalinden etkilenmediğini belirtti. Nedeni? Hepsi onların hatasıydı. 23andMe için yasal kartallar şöyle açıkladı: “23andMe, kullanıcıların oturum açma kimlik bilgilerini geri dönüştürdüğü durumlarda yetkisiz aktörlerin belirli kullanıcı hesaplarına erişmeyi başardığına inanıyor…” Kullanıcıların, 23andMe ile ilgisi olmayan önceki veri ihlallerinden etkilenen şifreleri güncelleme konusunda ihmalkar davrandıkları söylendi. .
Ancak asıl heyecan verici olan, aynı mektupta yer alan “erişilme potansiyeli olan bilgilerin herhangi bir zarar vermek amacıyla kullanılamayacağı” iddiasıydı. Salt Security’nin saha CTO’su Nick Rago, bu ifadenin neden çılgınca olduğunu açıkladı:
“Bu karmaşık sosyal mühendislik saldırıları çağında, bir veri ihlalinin sosyal güvenlik numaraları, sürücü belgesi numarası veya kredi kartı verilerinden oluşmaması nedeniyle “maddi zarara” yol açamayacağı yönündeki herhangi bir iddianın alaycı bir şekilde yapılması gerekir. 2023’te, bir saldırı kampanyasının ilk dalgası olarak kullanılan sosyal mühendislik taktiklerinin yalnızca tüketiciler için değil, aynı zamanda büyük kurumsal varlıklar için de nasıl hasara yol açtığını gördük.”
Şöyle devam etti: “Herhangi bir soy veya ilişki bilgisini ifşa etmek, ister bir tüketiciyi dolandırmayı, ister bir kimliği çalmayı, ister daha karmaşık bir saldırının bir aşaması olarak hedeflenmiş bir sosyal mühendislik saldırısı oluştururken saldırgan için oldukça yararlı olacaktır. kurumsal bir altyapıda ayrıcalıklı sistem erişimi elde etme gibi kampanyalar.”
Comforte AG’nin Siber Güvenlik Uzmanı Erfan Shadabi de aynı görüşte olup şunları ekledi: “Suçun tamamını kullanıcılara atfetmek, siber güvenliğin karmaşık manzarasını aşırı basitleştiren kusurlu bir argümandır. Kullanıcıların hesap güvenliği için en iyi uygulamaları takip etme yükümlülüğünün olduğu doğru olsa da şirketlerin de kendilerine emanet edilen hassas bilgileri koruma yükümlülüğü vardır.”
Keeper Security’nin CEO’su ve kurucu ortağı Darren Guccione şunları söyledi: “Kullanıcılara münferit sorumluluk atfetmek, genellikle bir kuruluşun sağlam güvenlik önlemleri uygulama ve kullanıcıları arasında siber güvenlikle ilgili en iyi uygulamaları kolaylaştırma yönündeki yaygın sorumluluğunu gözden kaçırır. Genel olarak kuruluşların kullanıcılarına, çalışanlarına ve diğer paydaşlarına ait toplanan, hassas ve gizli bilgileri koruma konusunda güvene dayalı bir yükümlülüğü bulunmaktadır. Hassas dijital varlıkların mahremiyetini, güvenliğini ve gizliliğini korumaya yönelik güçlü iç kontroller ve teknoloji uygulamalarının yanı sıra, güçlü şifre gereklilikleri ve zorunlu çok faktörlü kimlik doğrulama, kullanıcı hesaplarını koruyabilecek iki kritik önlemdir. İhlallerin %74’ü insan unsurunu içeriyor; çoğunluğu çalıntı veya zayıf şifrelerden, kimlik bilgilerinden ve sırlardan oluşuyor. Şifre yönetimi yazılım uygulamaları bu amaca hizmet ediyor.”
Eskenzi PR’ın kurucu ortağı Yvonne Eskenzi, teknik ayrıntıların yanı sıra durumu zayıf PR olarak tanımlıyor. “Kriz iletişimi açısından bakıldığında, 23&me’nin ihlale verdiği yanıt hedefi tamamen ıskalıyor. Bir siber saldırının ardından etkilenen şirketin müşterilere gerçek, dürüst ve güncel bilgiler sağlamak için hızlı hareket etmesi gerekiyor” dedi. “23&me ihlali durumunda, mağdurları suçlama kararı olumsuz basını körükledi, sorumluluktan kaçtı ve etkilenenlere karşı herhangi bir şefkat göstermede başarısız oldu. Bu muhtemelen ağırlıklı olarak şirketin hukuk departmanı tarafından yönlendirilse de, mektubun üslubu muhtemelen müşterileri kızdıracak ve tepkiyi artıracaktır. Sonuçta, çoğu durumda ortalama bir kişi, şifresinin başka bir yerde ele geçirildiğini bilmeyebilir. Güvenlik önlemlerinin son kullanıcı riskini azaltacak kadar sağlam olduğundan emin olmak kuruluşun sorumluluğundadır. Kamuoyunda riski küçümsemek ve suçu başka yere atmak hiç şüphesiz zayıf bir halkla ilişkilerdir.”
23andMe ve diğer şecere şirketlerinin o zamandan bu yana müşteri hesaplarındaki koruma önlemlerini artırmak için adımlar atmasına rağmen Shadabi, yapılabilecek daha çok şey olduğunu söylüyor.
“23andMe’nin son zamanlarda kimlik bilgileri doldurma saldırılarına karşı savunmayı güçlendirmek için iki faktörlü kimlik doğrulama (2FA) zorunlu kılma adımını atması takdire şayan” dedi. “Ancak yalnızca hesap odaklı güvenliğe odaklanmak yeterli değil. 23andMe gibi işletmelerin 2FA’yı güçlü bir veri merkezli güvenlik planıyla eşleştirmesi gerekir. Ele geçirilen bilgiler kimlik hırsızlığı, sigorta dolandırıcılığı ve diğer hain eylemler için kullanılabildiğinden, verilerin korunması çok önemlidir. Genel güvenlik duruşunu güçlendirmek ve olası ihlallerin etkisini azaltmak için tokenizasyon, erişim kontrolleri ve sık sık denetimler yapılabilir.”
Teknik kontrolleri daha da güçlendirmek için davranış ve anormallik tespiti de çok önemlidir. “Saldırganların radarın altında kalma ve saldırı trafiğini normal trafik gibi maskeleme konusunda oldukça başarılı olduklarını kuruluşların akılda tutması önemlidir. Geleneksel uç web savunmaları, çoğu durumda düşman etkinliğini tespit etmek için gereken davranışsal anormallik tespitinden yoksundur. Bu yeni nesil tehditlerle mücadele etmek için bir kuruluşun güvenlik cephaneliğine davranışsal tehdit korumasını eklemek önemlidir,” diye açıkladı Salt Security’den Rago.
Guccione, paylaşılan sorumluluğu ilerlemenin en iyi yolu olarak görüyor. Şöyle dedi: “Hem kuruluşun hem de kullanıcılarının rol oynadığı, güvenlik konusunda ortak sorumluluk kültürü, dayanıklı ve güvenli bir ortamı teşvik edebilir; bu nedenle kullanıcıların kendi siber güvenliklerini de savunmaları gerekir. Herkesin, her cihazdaki tüm hesaplar için güçlü ve benzersiz şifreler kullanarak iyi siber hijyen uygulaması zorunludur. Bunu başarmak için bir şifre yöneticisi kullanmak çok önemlidir; bu, her web sitesi, uygulama ve sistem için yüksek güçlü rastgele şifreler oluşturacak ve ayrıca 2FA’nın uzaktan veri ihlallerine karşı koruma sağlamasına olanak sağlayacaktır. Parola yöneticisi, fidye yazılımlarına ve veri ihlallerinde en yaygın saldırı vektörlerine karşı kritik bir ilk savunma hattıdır.”
Belki de Centripetal Güvenlik Mühendisi Colin Little, bu vakada ortaya çıkan emsallerin vahametini en iyi şekilde özetlemiştir:
“Büyük veri ihlallerinden zarar gören gerçek kişiler aslında bireysel tüketicilerdir. Bu ihlalde insanların genetik soy sonuçlarının çalınmış olması, veri gaspı ve kimlik hırsızlığı için tamamen yeni olasılıkların önünü açıyor. Siyasi şahsiyetlerin ve ünlülerin isimleri, mensubiyet skandalı nedeniyle sıklıkla haberlerde yer alıyor ve şimdi kötü adamlar bu bağlantıları genetik olarak onlar için planlamış durumda.”