Genel Veri Koruma Yönetmeliği (GDPR), Olay ve İhlallere Müdahale, Güvenlik Operasyonları
2023 Kimlik Bilgisi Doldurma Saldırısıyla 6,9 Milyon Bireyin Genetik Detayları Çalındı
Mathew J. Schwartz (euroinfosec) •
11 Haziran 2024
Birleşik Krallık ve Kanada’daki gizlilik düzenleyicileri, doğrudan tüketiciye yönelik genetik test hizmetinin Ekim 2023’te büyük bir veri ihlali yaşamasının ardından 23andMe hakkında ortak bir soruşturma başlattı.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Britanya Bilgi Komiserliği Ofisi ve Kanada Gizlilik Komiserliği Ofisi, halka açık şirketin ilgili veri koruma yasalarına uyumunu ve 6,9 milyon kişinin soy bilgilerinin açığa çıkmasına neden olan ihlalin etkisini ortaklaşa araştıracaklarını söyledi.
ICO ve OPC, ifşa edilen bilgilerin kapsamını ve bireylere yönelik potansiyel riskleri, 23andMe’nin bu verileri korumak için yeterli güvenlik önlemlerine sahip olup olmadığını ve etkilenen bireylerin yanı sıra Birleşik Krallık ve Kanadalı düzenleyicileri bu konuda doğru şekilde bilgilendirip bilgilendirmediğini gözden geçireceklerini söyledi. çiğneme.
ICO, 23andMe tarafından saklanan verilerin “bir birey ve aile üyeleri hakkında, sağlıkları, etnik kökenleri ve biyolojik ilişkileri de dahil olmak üzere bilgileri açığa çıkarabileceğini” söyledi. Bir kişinin genetik bilgisinin asla değişmediği göz önüne alındığında, bu tür veriler açığa çıktıktan sonra bireyler için kalıcı bir risk oluşturabilir.
Birleşik Krallık Bilgi Komiseri John Edwards, “İnsanların, en hassas kişisel bilgilerini kullanan herhangi bir kuruluşun uygun güvenlik ve koruma önlemlerine sahip olduğuna güvenmesi gerekiyor” dedi. “Bu veri ihlalinin uluslararası bir etkisi oldu ve Birleşik Krallık’taki kişilerin kişisel bilgilerinin korunmasını sağlamak için Kanadalı mevkidaşlarımızla işbirliği yapmayı dört gözle bekliyoruz.”
23andme yaptığı açıklamada, “Ekim 2023’te keşfedilen kimlik bilgisi doldurma saldırısıyla ilgili bu düzenleyicilerin makul talepleri konusunda işbirliği yapmayı planlıyoruz” dedi.
Bu ihlal, 23andMe’nin, bir bireyin aile ağacının herhangi bir dalındaki akrabalarını sekiz nesil öncesine kadar tanımlamak için kullanılabilen DNA Akrabaları özelliğini tercih eden 6,9 milyon müşterinin bilgilerini açığa çıkardı. Açığa çıkan bilgiler arasında isimleri, ilişki etiketlerini, doğum yılını, kendisinin bildirdiği konumu ve kullanıcının bilgilerini paylaşma kararını içeren “aile ağacı” profil bilgileri yer alıyordu.
Ekim 2023’te 23andMe, ilk olarak yaklaşık 140.000 kullanıcısının kimlik bilgileri doldurma saldırılarının kurbanı olduğunu bildirdi; bu, saldırganların, kullanıcıların kullanıcı adlarını ve şifrelerini başka bir yerde yeniden kullandıkları hesaplara giriş yaptığı anlamına geliyor.
Daha sonra 23andMe, bir saldırganın bu hesaplara erişim sağladıktan sonra sitenin 14 milyon kullanıcısının yarısının profil bilgilerini başarılı bir şekilde kazıdığını ve ardından bunları satışa sunduğunu keşfetti. Basında çıkan haberlere göre sızdırılan veriler, Aşkenazi Yahudi DNA kökenine sahip kişiler hakkında 1 milyon satırlık kod da dahil olmak üzere belirli DNA köken geçmişine sahip bireyleri içeriyordu.
Kanada Gizlilik Komiseri Philippe Dufresne, “Yanlış ellerde, bir bireyin genetik bilgisi gözetim veya ayrımcılık amacıyla kötüye kullanılabilir” dedi. “Kişisel bilgilerin kötü niyetli aktörlerin saldırılarına karşı yeterince korunmasını sağlamak, Kanada’daki ve dünyadaki gizlilik yetkililerinin önemli bir odak noktasıdır.”
Düzenleyiciler soruşturmanın potansiyel süresini tanımlamadı. Ortak bildiride, “Her düzenleyici, denetlediği yasaya uygunluğu araştıracaktır” denildi. “Soruşturma devam ederken başka yorum yapılmayacaktır.”
Kimlik Bilgisi Doldurmaya Karşı Savunmalar
23andMe veri ihlalinin gösterdiği gibi, saldırganlar kimlik bilgisi doldurma saldırılarını kullanmaya devam ediyor ve genellikle bilinen kullanıcı adı ve şifre çiftlerini genel veri sızıntıları yoluyla elde ediyor (bkz.: Naz.api Siber Suç Dökümünde 71 Milyon Benzersiz E-posta Bulundu).
Bu tür saldırılar, güvenlik uzmanlarının uzun süredir tavsiye ettiği gibi, bunları tespit etmek ve önlemek için proaktif adımlar atmadıkça, ileri düzeyde otomatikleştirilebilir, hızlı bir şekilde gerçekleştirilebilir ve alt kuruluşların engellemesi zor olabilir (bkz.: Kimlik Bilgisi Doldurma Saldırıları: Yeniden Kullanılan Parolalarla Nasıl Mücadele Edilir?).
Savunma stratejilerinden biri, kullanıcıları benzersiz şifreler seçmeye zorlamaktır. Ağustos 2017’den bu yana ABD Ulusal Standartlar ve Teknoloji Enstitüsü, kullanıcılara daha önce bilinen bir veri ihlalinde ortaya çıkan bir şifreyi asla seçmemelerini tavsiye ediyor. Avustralyalı geliştirici Troy Hunt, yardımcı olmak için o yıl, Pwned Parolalar adlı ücretsiz bir hizmeti başlattı; bu hizmet, kullanıcıların olası parolaları, çok sayıda kamuya açık ve özel veri sızıntısından derlenen yüz milyonlarca bilinen sızdırılmış parolanın karmalarını içeren bir veritabanına karşı test etmesine olanak tanıyor. Bir API aracılığıyla erişilebilen hizmet, FBI ve Britanya Ulusal Suç Teşkilatı’nın soruşturmaları sırasında elde ettiği şifrelerin karmalarını içeriyor.
Kimlik bilgisi doldurmaya karşı kanıtlanmış bir başka savunma da çok faktörlü kimlik doğrulamadır. Bu şekilde, saldırganın çalışan bir kullanıcı adı ve şifre çifti olsa bile, MFA kontrolü onun hesaba erişmesini engelleyecektir. Saldırganlar MFA savunmalarını atlamaya çalışabilse de bunu yapmak çok daha fazla zaman ve teknik zeka gerektirir, dolayısıyla bunu yapmaya çalışma veya başarılı olma olasılıkları azalır (bkz.: Çok Faktörlü Kimlik Doğrulamayı Atlama Saldırıları: En İyi Savunmalar).
2019’dan bu yana 23andMe, müşterilere hesaplarını kimlik doğrulama uygulaması veya kayıtlı e-posta adreslerine gönderilen tek seferlik kod aracılığıyla iki faktörlü kimlik doğrulama kullanarak güvence altına alma olanağı sunuyor, ancak hizmet TFA’yı zorunlu kılmıyor. Bu durum geçen Kasım ayında 23andMe’nin tüm yeni hesapların e-posta yoluyla otomatik olarak TFA’ya kaydedileceğini ve ardından tercih edilirse kimlik doğrulama uygulamasını kullanmaya geçebileceklerini söylemesiyle değişti.