Birleşik Krallık ve Kanada gizlilik gözlemcileri, bu hafta, genetik test şirketi 23andMe’nin dünya çapında 6,9 milyon kişinin soy verilerini sızdıran Ekim ayı veri ihlalindeki güvenlik açıklarını belirlemek için ortak bir soruşturma başlatacağını duyurdu.
Birleşik Krallık Bilgiden Sorumlu Komisyon Üyesi John Edwards ve Kanada’nın Gizlilikten Sorumlu Komisyon Üyesi Philippe Dufresne, ilgili ofislerinin kaynaklarını ve uzmanlığını bir araya getirerek soruşturmayı yönetecek.
23andMe Veri İhlali Soruşturmasının Odak Noktası
Ortak soruşturma üç temel hususu inceleyecek:
- Açığa Çıkan Bilgilerin Kapsamı: İhlalden etkilenen verilerin kapsamı ve bundan kaynaklanan bireylere yönelik potansiyel zarar.
- Güvenlik önlemleri: 23andMe’nin kontrolü altındaki hassas bilgileri korumak için yeterli güvenlik önlemlerine sahip olup olmadığını değerlendirin.
- İhlal Bildirimi: Kanada (PIPEDA) ve Birleşik Krallık (GDPR) veri koruma yasalarının gerektirdiği şekilde, şirketin düzenleyici kurumlara ve etkilenen kişilere zamanında ve yeterli bildirimde bulunup bulunmadığını inceleyin.
Edwards, hassas kişisel verileri işleyen kuruluşlardaki kişilerin güvenini kazanmak için soruşturmanın gerekli olduğunu söyledi. Belirtti:
“İnsanların, en hassas kişisel bilgilerini kullanan herhangi bir kuruluşun uygun güvenlik ve koruma önlemlerine sahip olduğuna güvenmesi gerekiyor. Bu veri ihlalinin uluslararası bir etkisi oldu ve Birleşik Krallık’taki kişilerin kişisel bilgilerinin korunmasını sağlamak için Kanadalı mevkidaşlarımızla işbirliği yapmayı sabırsızlıkla bekliyoruz.”
Dufresne ise genetik bilginin yanlış ellere geçmesiyle ilgili risklerin bulunduğunu belirtti. Dedi ki:
“Bir bireyin genetik bilgisi yanlış ellerde gözetim veya ayrımcılık amacıyla kötüye kullanılabilir. Kişisel bilgilerin kötü niyetli aktörlerin saldırılarına karşı yeterince korunmasını sağlamak, Kanada’daki ve dünyadaki gizlilik yetkililerinin önemli bir odak noktasıdır.”
Birleşik Krallık ve Kanada’daki veri koruma ve gizlilik yasaları, her iki yargı alanını da etkileyen konularda bu tür ortak soruşturmalara izin vermektedir. Her düzenleyici, denetledikleri ilgili yasalara uygunluğu değerlendirecektir.
Ancak gizlilik komisyonu ofislerinden hiçbiri, GDPR veya PIPEDA’yı ihlal ettiği tespit edilirse 23andMe’yi nasıl suçlayacakları veya cezalandıracakları konusunda daha fazla ayrıntı vermedi. Birleşik Krallık ICO’su, “Soruşturma devam ederken başka yorum yapılmayacaktır” dedi.
Genetik Test Şirketi 23andMe Veri İhlali Zaman Çizelgesi
23andMe, Ekim ayındaki veri ihlalinin ayrıntılarını ilk olarak ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı 8-K başvurusunda açıkladı. Genetik test şirketi, saldırganların şirketin DNA Akrabaları özelliğini kullanmayı tercih eden 23andMe kullanıcılarının profillerini kazıdığını söyledi. Bu profil oluşturma özelliği, kullanıcıları genetik olarak uzak akrabalarla veya kendi DNA parçalarını paylaşan diğer 23andMe kullanıcılarıyla buluşturuyor.
Şirket, SEC’e saldırganların kullanıcı hesaplarının %0,1’ini etkileyen kimlik bilgisi doldurma saldırıları kullandığını söyledi. Bu hesapları bir başlatma paneli olarak kullanan bilgisayar korsanları, “diğer kullanıcıların soylarıyla ilgili profil bilgileri içeren önemli sayıda dosyaya” erişmeyi başardı.
Tehdit aktörleri yer altı forumlarında 23andMe’den “20 milyon kod parçası” çekebildiklerini iddia etti. İddia edilen veri seti, 1,3 milyondan fazla Aşkenaz Yahudisi ve Çinli kullanıcıya ait DNA soy geçmişlerine ait bilgileri içeriyordu.
Ekim ayının sonunda başka bir tehdit aktörü, şirketin de araştırdığı 4 milyon genetik profilin ele geçirildiğini iddia etti. Genetik test şirketi 23andMe, etkilenen 6,9 milyon kullanıcıyı (5,5 milyon DNA Akraba profili ve 1,4 milyon Aile Ağacı profili) Aralık ayında bilgilendirdiğini söyledi.
Şirket, federal düzenleyicilere, veri ihlali olayının tek seferlik harcamaların 1 ila 2 milyon dolar arasında olacağının belirlendiğini söyledi.
Şirket, Kanada’nın yanı sıra ABD eyaleti ve federal yargı bölgelerinde en az 30 toplu davayla karşı karşıya bulunuyor.
23andMe, ihlalden müşterilerin zayıf güvenlik hijyenini sorumlu tuttu ve o zamandan beri iki adımlı doğrulamayı hesaba giriş için bir ön koşul haline getirdi. Ayrıca müşterilere şifrelerini sıfırlama zorunluluğu da getirildi.