Kanada ve Birleşik Krallık’taki gizlilik düzenleyicileri, büyük bir veri ihlaline yanıt olarak genetik test firması 23andMe’ye yönelik ortak bir soruşturma başlattı ve bu, sorunun çözümüne yönelik önemli bir adım oldu.
Geçtiğimiz yıl yaklaşık 7 milyon kullanıcının hassas kişisel bilgilerinin ele geçirilmesi, veri güvenliği ve mahremiyeti konusunda ciddi endişelere yol açmıştı.
Nisan ve Eylül 2023 arasında gerçekleşen ihlal, yaklaşık 14.000 kullanıcı hesabına erişim kazanmak için kimlik bilgileri doldurma saldırısı kullanan saldırganları içeriyordu.
Kimlik bilgisi doldurma, saldırganların farklı platformlardaki hesaplara erişmek için diğer veri ihlallerinden elde edilen kimlik bilgilerini kullandığı bir tekniktir.
Saldırganlar, bu hesaplara girdikten sonra, kullanıcıların verileri başkalarıyla paylaşarak uzak akrabaları keşfetmesine olanak tanıyan DNA Relatives adı verilen bir katılım özelliği sayesinde milyonlarca başka bireyin verilerini kazıyabildi.
Bu, 6,9 milyon kullanıcının isimleri, doğum yılları, ilişki etiketleri, akrabalarla DNA yüzdesel paylaşımları, soy raporları ve kendi bildirdiği konumlar dahil olmak üzere verilerinin açığa çıkmasına yol açtı.
Soruşturmanın Kapsamı
Ortak soruşturma, Birleşik Krallık’taki Bilgi Komiserliği Ofisi (ICO) ve Kanada Gizlilik Komiserliği Ofisi (OPC) tarafından yürütülecek.
Soruşturmanın temel amaçları, ifşa edilen bilgilerin kapsamını değerlendirmek, mağdurlara gelebilecek potansiyel zararı değerlendirmek ve 23andMe’nin kullanıcıların hassas verilerini korumak için yeterli güvenlik önlemlerine sahip olup olmadığını belirlemektir.
Ayrıca soruşturma, şirketin Kanada ve Birleşik Krallık gizlilik ve veri koruma yasalarının gerektirdiği şekilde etkilenen bireylere ve ilgili gizlilik düzenleyicilerine zamanında ve yeterli bildirimde bulunup bulunmadığını da inceleyecek.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Kanada Gizlilik Komiseri Philippe Dufresne, genetik bilginin korunmasının önemine vurgu yaparak şunları söyledi: “Bir bireyin genetik bilgisi, gözetim veya ayrımcılık amacıyla yanlış ellere geçebilir. Kişisel bilgilerin kötü niyetli aktörlerin saldırılarına karşı yeterince korunmasını sağlamak, Kanada’daki ve dünyadaki gizlilik yetkililerinin önemli bir odak noktasıdır”.
Birleşik Krallık Bilgi Komiseri John Edwards da bu endişeleri yineleyerek sağlam güvenlik önlemlerine duyulan ihtiyacın altını çizdi. “İnsanların, en hassas kişisel bilgilerini kullanan herhangi bir kuruluşun uygun güvenlik ve koruma önlemlerine sahip olduğuna güvenmesi gerekiyor. Bu veri ihlalinin uluslararası bir etkisi oldu ve Birleşik Krallık’taki kişilerin kişisel bilgilerinin korunmasını sağlamak için Kanadalı mevkidaşlarımızla işbirliği yapmayı sabırsızlıkla bekliyoruz”.
23andMe’nin Yanıtı
İhlale yanıt olarak 23andMe, tüm müşterilerin şifrelerini sıfırlamasını zorunlu kılmak ve tüm yeni ve mevcut müşteriler için varsayılan olarak iki faktörlü kimlik doğrulamayı etkinleştirmek de dahil olmak üzere çeşitli güvenlik önlemleri uygulamaya koydu.
Şirket ayrıca, müşterilerin toplu davalara katılmasını daha zor hale getirmek için Kullanım Koşullarını da güncelledi; bu, bazılarının “pis bir kurumsal hamle” olarak eleştirdiği bir hareket.
ICO ve OPC’nin ortak soruşturması, veri ihlalinin uluslararası niteliğini ele almak ve her iki ülkedeki bireylerin kişisel bilgilerinin yeterince korunmasını sağlamak için koordineli bir çabayı temsil ediyor.
Araştırmanın bulguları, 23andMe ve hassas genetik verileri işleyen diğer şirketler için önemli sonuçlar doğurabilir ve potansiyel olarak daha sıkı düzenleyici gerekliliklere ve gelişmiş güvenlik önlemlerine yol açabilir.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo