Genetik test sağlayıcısı 23andMe, bilgisayar korsanlarının 29 Nisan’dan 27 Eylül’e kadar beş ay boyunca fark edilmeyen bir kimlik bilgisi doldurma saldırısından etkilenen müşterilerin sağlık raporlarını ve ham genotip verilerini çaldığını doğruladı.
Saldırganların müşterilerin hesaplarını ihlal etmek için kullandıkları kimlik bilgileri, diğer veri ihlallerinde çalındı veya daha önce ele geçirilen çevrimiçi platformlarda kullanıldı.
Genomik ve biyoteknoloji şirketi, olaydan etkilenenlere gönderilen veri ihlali bildirim mektuplarında, çalınan verilerin bir kısmının BreachForums hack forumunda ve resmi olmayan 23andMe alt reddit sitesinde yayınlandığını açıkladı.
Sızan bilgiler arasında 1 milyon Aşkenazi Yahudisi ve Birleşik Krallık’ta yaşayan 4,1 milyon kişiye ait veriler yer alıyor.
“Araştırmamız, tehdit aktörünün kesintisiz ham genotip verilerinizi indirdiğini veya bu verilere eriştiğini ve sağlık yatkınlık raporları, sağlıklı yaşam raporları dahil olmak üzere genetik bilgilerinizin işlenmesinden elde edilen belirli sağlık raporları gibi hesabınızdaki diğer hassas bilgilere erişmiş olabileceğini belirledi. ve taşıyıcı durum raporları,” 23andMe ortaya çıktı.
“Hesabınızda bu tür bilgilerin bulunması halinde, tehdit aktörü aynı zamanda kendisinin bildirdiği sağlık durumu bilgilerine ve ayarlarınızdaki bilgilere de erişmiş olabilir.”
23andMe’nin DNA Akrabaları özelliğini de kullanan müşterilerin, saldırganların DNA Akrabaları ve Soy Ağacı profil bilgilerini de kazımış olması mümkün.
Ayrıca DNA Akrabaları özelliği aracılığıyla paylaşılırsa, etkilenen müşterilerin aşağıdaki bilgilerine görünürlük kazandırmış olabilirler:
- Soy raporları ve eşleşen DNA segmentleri (özellikle kromozomlarınızda sizin ve akrabanızın eşleşen DNA’sının bulunduğu yer),
- Kişinin bildirdiği konum (şehir/posta kodu),
- Ataların doğum yerleri ve aile adları,
- Profil resmi, doğum yılı ve profillerinin “Kendinizi tanıtın” bölümünde yer alan diğer bilgiler
23andMe Aralık ayında BleepingComputer’a, bilgisayar korsanlarının yaklaşık 14.000 kullanıcı hesabını ihlal ettikten sonra mevcut 14 milyon müşteriden 6,9 milyon kişinin verilerini indirdiğini söyledi.
DNA Akrabaları özelliği aracılığıyla 5,5 milyon kişinin verileri, Soy Ağacı özelliği aracılığıyla ise 1,4 milyon kişinin verileri kazındı.
10 Ekim’de, yani saldırının tespit edilmesinden yaklaşık bir hafta sonra, 23andMe tüm müşterilerinin şifrelerini sıfırlamalarını talep etmeye başladı.
6 Kasım’dan bu yana, tüm yeni ve mevcut müşterilerin, gelecekteki kimlik bilgileri doldurma girişimlerini engellemek için hesaplarına giriş yaparken iki faktörlü kimlik doğrulamayı kullanması gerekiyor.
Geçen yılki olay aynı zamanda 23andMe’ye karşı çok sayıda dava açılmasına da yol açarak şirketin 30 Kasım’da Kullanım Şartlarını, müşterilerin 23andMe’ye karşı toplu davalara katılmasını zorlaştıran hükümlerle güncellemesine neden oldu.
Güncellemelerden biri şöyle diyor: “Yürürlükteki yasaların izin verdiği ölçüde, siz ve biz, her bir tarafın diğer tarafa karşı ihtilafları toplu dava, toplu dava veya toplu tahkim olarak değil, yalnızca bireysel sıfatla getirebileceğini kabul ediyoruz.”
Ancak 23andMe, bu değişikliklerin tahkim sürecini daha verimli ve müşterilerin anlamasını kolaylaştırmak için eklendiğini söyledi.