Cuma günü genetik test şirketi 23andMe, bilgisayar korsanlarının müşterilerin %0,1’inin yani yaklaşık 14.000 kişinin kişisel verilerine eriştiğini duyurdu. Şirket ayrıca, bilgisayar korsanlarının bu hesaplara erişerek “diğer kullanıcıların soylarıyla ilgili profil bilgileri içeren önemli sayıda dosyaya” da erişebildiğini söyledi. Ancak 23andMe, şirketin ilk olarak Ekim başında açıkladığı ihlalden kaç “diğer kullanıcının” etkilendiğini söylemedi.
Görünüşe göre bu veri ihlalinin kurbanı olan çok sayıda “diğer kullanıcı” vardı: Toplamda 6,9 milyon kişi etkilendi.
23andMe sözcüsü Katie Watson, Cumartesi günü geç saatlerde TechCrunch’a gönderilen bir e-postada, bilgisayar korsanlarının, müşterilerin bazı verilerini otomatik olarak başkalarıyla paylaşmalarına olanak tanıyan 23andMe’nin DNA Akrabaları özelliğini tercih eden yaklaşık 5,5 milyon kişinin kişisel bilgilerine eriştiğini doğruladı. Çalınan veriler arasında kişinin adı, doğum yılı, ilişki etiketleri, akrabalarıyla paylaşılan DNA yüzdesi, soy raporları ve kişinin bildirdiği konum yer alıyordu.
23andMe ayrıca DNA Akrabaları’na kaydolan yaklaşık 1,4 milyon kişiden oluşan başka bir grubun da görünen adları, ilişki etiketlerini, doğum yılını, kendi bildirdiği konumu ve kullanıcının bunu yapmaya karar verip vermediğini içeren “Aile Ağacı profil bilgilerine erişildiğini” doğruladı. Sözcü, bilgilerini paylaşacaklarını söyledi. (23andMe, e-postasının bir kısmını “arka planda” olarak ilan etti; bu, her iki tarafın da şartları önceden kabul etmesini gerektiriyor. TechCrunch, bize şartları reddetme fırsatı verilmediğinden yanıtı yazdırıyor.)
23andMe’nin Cuma günkü açıklamasında bu rakamları neden paylaşmadığı da bilinmiyor.
Yeni rakamlar göz önüne alındığında, gerçekte veri ihlalinin 23andMe’nin rapor edilen toplam 14 milyon müşterisinin yaklaşık yarısını etkilediği biliniyor.
Ekim başında, Bir bilgisayar korsanı 23andMe kullanıcılarının DNA bilgilerini çaldığını iddia etti Tanınmış bir bilgisayar korsanlığı forumunda bir gönderide. Hacker, ihlalin kanıtı olarak Aşkenazi kökenli bir milyon Yahudi kullanıcı ve 100.000 Çinli kullanıcıya ait olduğu iddia edilen verileri yayınladı ve olası alıcılardan bireysel hesap başına veriler için 1 ila 10 ABD Doları arası bir ücret talep etti. İki hafta sonra aynı hacker, aynı hack forumunda dört milyon kişinin daha olduğu iddia edilen kayıtlarının reklamını yaptı.
TechCrunch, ayrı bir bilgisayar korsanlığı forumunda başka bir bilgisayar korsanının, geniş çapta bildirilen reklamdan iki ay önce çalındığı iddia edilen bir grup 23andMe müşteri verilerinin reklamını zaten yaptığını tespit etti.
Bize Ulaşın
23andMe olayı hakkında daha fazla bilginiz var mı? Sizden haber almayı çok isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Aylardır sızdırılan verileri analiz ettiğimizde TechCrunch, bazı kayıtların hobiciler ve soybilimciler tarafından çevrimiçi olarak yayınlanan genetik verilerle eşleştiğini buldu. İki bilgi seti farklı biçimlendirilmişti ancak aynı benzersiz kullanıcı ve genel verilerden bazılarını içeriyordu; bu da bilgisayar korsanı tarafından sızdırılan verilerin en azından kısmen gerçek 23andMe müşteri verileri olduğunu gösteriyor.
İçinde Ekim ayındaki olayı açıkladı23andMe, veri ihlalinin müşterilerin şifreleri yeniden kullanmasından kaynaklandığını, bunun da bilgisayar korsanlarının diğer şirketlerin veri ihlallerinde açıklanan, halka açık olarak bilinen şifreleri kullanarak kurbanların hesaplarına kaba kuvvet uygulamasına olanak sağladığını söyledi. DNA Akrabaları özelliğinin kullanıcıları akrabalarıyla eşleştirme şekli nedeniyle, bilgisayar korsanları tek bir hesaba girerek hem hesap sahibinin hem de akrabalarının kişisel verilerini görebildiler ve bu da 23andMe kurbanlarının toplam sayısını artırdı .