Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kongre İncelemesi ve Davalar Genetik Test Firmasının Gizlilik Uygulamalarını Hedef Alıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Ekim 2023
Genetik test firması 23andme, potansiyel olarak milyonlarca müşterinin genetik soy bilgilerinin sızdırılmasına neden olan kimlik bilgileri doldurma olayının ardından yoğun bir incelemeyle karşı karşıya. Şirket, ABD’de önerilen en az 16 toplu davaya maruz kaldı ve üst düzey bir ABD senatörünün soruşturmasına yanıt vermesi için 3 Kasım’a kadar süresi var.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Önerilen toplu davalar, 14 milyon müşterisi olan Kaliforniya merkezli şirketin veri güvenliği uygulamalarını iyileştirmesi için parasal tazminatın yanı sıra ihtiyati tedbir kararı verilmesini talep ediyor.
Bu arada, Senato’nun sağlık, eğitim, çalışma ve emeklilik komitesinin üst düzey üyesi ve şu anda Senato’da görev yapan dört doktordan biri olan Senatör Bill Richards, R-La., 20 Ekim’de 23andMe CEO’su Anne Wojcicki’yi eleştiren bir mektupta şunları talep etti: ihlal ve şirketin veri koruma uygulamalarıyla ilgili bir düzine soruyu yanıtlamak için 3 Kasım’a kadar yanıt vermesini istedi.
“23andMe, belirli demografik özelliklere dayalı olarak kullanıcı verilerinin büyük ölçekli indirilmesine izin vermek için hangi arama araçlarını ve algoritmaları kullanıyor? Bilgisayar korsanları, etkilenen kullanıcıların bu kadar kapsamlı bir listesini karanlık ağda nasıl derledi?” Senatör sordu.
“Birkaç bireysel hesaba erişim yoluyla ele geçirilen kullanıcı hesabı başına yüzlerce kişisel hesap olduğu iddia edilen toplu kullanıcı verileri nasıl elde edildi?” O sordu.
Bu ayın başında karanlık ağdaki tehdit aktörleri 23andMe’den “20 milyon parça kod” çaldıklarını iddia etmişti. Şu ana kadar satışa sunulan sızdırılan veriler, Aşkenaz Yahudi DNA kökenli kişiler, Çin mirasına sahip 300.000 kişi hakkında 1 milyon satır kod dahil olmak üzere belirli DNA köken geçmişine sahip 23andMe kullanıcılarına ait ve Bleeping Computer tarafından bildirilen son sızıntıya ait. Büyük Britanya ve Almanya’daki insanlar için 4,1 milyon genetik profil.
23andMe bu ayın başlarında, şirketin DNA Akrabaları özelliğini kullanmayı seçen 23andMe kullanıcılarının profillerinden kazınmış bilgileri içeren bir kimlik bilgisi doldurma olayını araştırdığını doğruladı. DNA Relatives, 23andMe kullanıcılarını genetik uzak akrabalarla veya DNA parçalarını paylaşan diğer 23andMe kullanıcılarıyla birleştirir (bkz.: 23andMe Soruşturması Görünür Kimlik Bilgisi Doldurma Hack’i).
23andMe Perşembe günü Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada davalar ve Cassidy’nin mektubu hakkında yorum yapmayı reddetti. Şirket ayrıca, ABD Menkul Kıymetler ve Borsa Komisyonu’na bildirildiği ve müşterilere 8 Ekim tarihli bir bildirimde iletildiği gibi, ISMG’ye karşı önceki pozisyonunu da korudu; 23andMe’nin “şu anda bir veri güvenliği olduğuna dair herhangi bir gösterge yok” sistemlerimizdeki bir olaydan kaynaklandığını veya bu saldırılarda kullanılan hesap bilgilerinin kaynağının 23andMe olduğunu.”
Şu ana kadar önerilen toplu dava davaları (tümü 9 Ekim ile 24 Ekim tarihleri arasında aynı Kuzey Kaliforniya federal mahkemesinde açılmış) davacıların ve milyonlarca grup üyesi müşterinin 23andMe’ye emanet ettiği son derece hassas bilgilerin de dahil olduğu benzer iddiaları ileri sürüyor. Şirketin son derece kişisel verileri koruma konusundaki ihmali nedeniyle siber suçlular kimlik hırsızlığı ve dolandırıcılık suçları riskiyle karşı karşıya kalıyor.
Bazı davalarda, olayın genetik atalarına ilişkin bilgilerin sızdırılması nedeniyle bireyleri ayrımcılık ve nefret suçlarına maruz kalma riskiyle karşı karşıya bıraktığı iddia ediliyor.
Baş davacı David Tulchinsky tarafından 19 Ekim’de sunulan dava şikayetinde, “Bu ihlalin özellikle Aşkenaz Yahudi kökenlileri ve anti-Semitizmin arttığı bir ortamda olanları hedef aldığı göz önüne alındığında, kaygı ve mahremiyetin tehlikeye atılması daha da şiddetlidir” ifadesi yer alıyor. .
Sorun Şifreler mi?
23andMe davasına dahil olmayan gizlilik avukatı Adam Greene, 23andMe’ye karşı önerilen toplu davaların büyük olasılıkla mahkeme kararları yerine uzlaşma yoluyla çözüleceğini söyledi.
Ancak dava ve sonuçlar sırasında olay, 23andMe olayı ve benzer hacklemeler dahil olmak üzere birçok kritik konuya ışık tutuyor.
“Bu olayın, mahkemenin mevcut şifre ekosistemimizin kalbini etkileyen önemli bir hukuki soruyu gündeme getirdiğini düşünüyorum” dedi.
“Teknoloji şirketlerinin bireylerin kimliğini doğrularken yalnızca parolalara güvenmesi mantıklı mı? Yoksa teknoloji şirketleri güvenliklerini, tüketicilerin parolaları geri dönüştüreceği ve bu tür parolaların zamanla ele geçirileceği varsayımı etrafında mı oluşturmak zorunda?” dedi Davis Wright Tremaine hukuk firmasından Greene.
“Bu sorunun cevabının İnternet’teki oturum açma işlemlerinin nasıl çalıştığı üzerinde derin bir etkisi olabilir.”
Mali Etki Belirlenecek
23andMe, 11 Ekim’de SEC’e yaptığı başvuruda şirketin hâlâ olayın sonuçlarını anlamaya çalıştığını söyledi. Şirket SEC’e “Şu anda 23andMe bu sonuçların maliyetini ve büyüklüğünü tahmin edemiyor” dedi.
Firma, olayın nedeni ve kapsamının araştırılmasına ve etkinin hafifletilip iyileştirilmesine yardımcı olmak için üçüncü taraf adli tıp uzmanlarını görevlendirdiğini söyledi.
Şirket, SEC’e şunları söyledi: “23andMe, bu olayla ilgili olarak federal kolluk kuvvetleriyle tam işbirliği yapıyor. 23andMe şu anda erişilen verilerin kapsamını doğrulamak için çalışıyor ve söz konusu kişisel verilerin yapısını ve ilgili yasal yükümlülükleri araştırıyor.” .
30 Mart’ta sona eren 2023 mali yılı için 23andMe, 299 milyon dolar net gelir ve 312 milyon dolar net zarar bildirdi. Şirket, net zararı, kısmen bir teletıp işletmesi olan Lemonaid Health’in 2021’de 400 milyon dolarlık satın alınmasıyla ilgili artan personel ve maaşlar da dahil olmak üzere, önceki yıla kıyasla işletme giderlerindeki artışa bağladı.
23andMe’nin 2024 mali yılı ikinci çeyrek sonuçlarını 8 Kasım’da açıklaması planlanıyor.