Genetik test sağlayıcısı 23andMe, milyonlarca müşterisini etkilediğine inanılan büyük ölçekli bir veri ihlalinin ardından ABD’de çok sayıda toplu davayla karşı karşıya.
Geçtiğimiz ayın sonlarında bir tehdit aktörü, hacker forumlarında ‘Ashkenazi DNA Data of Celebrities.csv’ adlı bir CSV dosyasındaki 23andMe müşteri verilerini sızdırdı.
Dosyanın, soy bilgilerini, genetik yatkınlıklarını ve daha fazlasını bulmak için 23andMe hizmetlerini kullanan yaklaşık 1 milyon Aşkenazi Yahudisinin verilerini içerdiği iddia ediliyor.
Kaynak: BleepingComputer
CSV dosyasındaki veriler, 23andMe kullanıcılarının hesap kimlikleri, tam adları, cinsiyetleri, doğum tarihleri, DNA profilleri, konumları ve bölge ayrıntılarına ilişkin bilgiler içeriyordu.
Geçen hafta asıl bilgisayar korsanı gönderiyi geri çekmeye karar verdi ve bunun yerine çalınan 23andMe verilerinin veri profillerini satmaya başladı. Ancak diğer tehdit aktörleri, orijinal 23andMe sızıntısını siber suç toplulukları ve forumlarında paylaşmaya devam etti.
Bir soruşturmaya yanıt olarak 23andMe, BleepingComputer’a, bilgisayar korsanlarının zayıf güvenlikli hesaplara kimlik bilgileri doldurma saldırıları yoluyla platformuna eriştiklerini söyledi. Ancak sistemlerinin doğrudan güvenlik ihlali iddialarını yalanladılar.
23andMe sözcüsü, saldırganların başlangıçta az sayıda hesaba yetkisiz erişim elde ettiğini, ancak sonunda genetik akrabaları birbirine bağlayan ‘DNA Akrabaları’ adlı isteğe bağlı bir özelliği etkinleştirerek daha fazla sayıda ancak tanımlanamayan sayıda müşterinin verilerini sızdırdığını açıkladı.
Raporumuzun yayınlanmasının ardından 23andMe, etkilenen müşterileri bireysel olarak bilgilendirmeyi ve üçüncü taraf uzmanların ve kolluk kuvvetlerinin yardımıyla yürütülen devam eden soruşturmanın sonuçları hakkında onları bilgilendirmeyi vaat eden bir duyuru yayınladı.
Çok sayıda dava açıldı
Her ne kadar platform üyeleri katılım özelliğini gönüllü olarak etkinleştirmiş olsalar da, hepsi dahili veri paylaşımı riskinin firmayı koruma katmanları yerleştirme sorumluluğundan muaf tutması gerektiğini kabul etmiyor.
Bu durumda, hesaplarında 2FA’yı etkinleştirerek ve güçlü ve benzersiz bir parola kullanarak uygun güvenlik uygulamalarını takip eden birçok kişi kendilerini yine de açığa çıkmış halde buldu ve hassas verileri siber suç forumlarına sızdırıldı.
Kaliforniya’da (Santana, Eden, Andrizzi, Lamons), 23andMe’nin verilerini koruyamamasından kaynaklanan zararın giderilmesini isteyen en az dört toplu dava şikayeti sunuldu.
Davalar, şirketin resmi duyurusunda güvenlik olayı, müşteri veri güvenliğinin mevcut durumu, ağ ihlalinin süresi ve siber saldırının kesin mekanizması hakkında bilgi eksikliğini vurguluyor.
Ayrıca 23andMe’yi, ağını anormal faaliyetlere karşı izlemeye ve potansiyel olarak izinsiz girişi çok daha erken durdurmak için harekete geçmeye yardımcı olacak yeterli güvenlik önlemlerini uygulamadığı için eleştiriyorlar.
Yasal işlemler, hassas tıbbi verileri yöneten bir şirket olan 23andMe’nin, sektördeki çok sayıda yüksek profilli ihlal göz önüne alındığında artan siber güvenlik tehditlerinin farkında olması gerektiğini vurguluyor ve bu tür verilerin yüksek değerinin altını çiziyor.
Davacılar, 23andMe’ye karşı, iade, ömür boyu kredi takibi, fiili, telafi edici ve yasal zararlar ve cezalar, cezai tazminatlar ve avukatlık ücretlerinin karşılanması da dahil olmak üzere çeşitli mali yardımlar talep ediyor.
Şikayetlerden biri, diğer çeşitli tazminat taleplerine ek olarak toplu dava davası üyesi başına nominal tazminatı 1.000 ABD Doları ve cezai tazminatı 3.000 ABD Doları olarak tanımlamaktadır.