23andMe, yakın zamanda meydana gelen bir ihlalin 6,9 milyon kullanıcıya ait verilerin sızdırıldığını doğruladı. E-postayla gönderilen bir açıklamada SınırŞirket sözcüsü Andy Kill, ihlalin, benzer genetik yapıya sahip kullanıcıları eşleştiren DNA Akrabaları özelliğini etkinleştiren yaklaşık 5,5 milyon kullanıcıyı etkilediğini ve ilave 1,4 milyon kişinin soy ağacı profillerine erişildiğini söyledi.
İçinde Menkul Kıymetler ve Borsa Komisyonu’na bir başvuru (SEC) ve blog gönderisine güncelleme 1 Aralık’ın sonlarında 23andMe, kimlik bilgisi doldurma saldırısı kullanan bir tehdit aktörünün (genellikle parolanın yeniden kullanılması nedeniyle diğer güvenlik ihlallerinden elde edilen hesap bilgileriyle oturum açma) kullanıcı hesaplarının yüzde 0,1’ine doğrudan eriştiğini ve yaklaşık 14.000 kullanıcıyı oluşturduğunu söyledi. Bu hesaplara erişim sağlayan saldırganlar, milyonlarca başka profildeki ek bilgilere erişmek için insanları aynı soyları paylaşabilecekleri diğer üyelerle eşleştiren DNA Akrabaları özelliğini kullandı.
“Sistemlerimizde veri güvenliği olayının yaşandığına dair hala bir belirtiye sahip değiliz”
Cuma günü yapılan açıklamada hacker dikkat çekti Ayrıca Akrabalar özelliği aracılığıyla “önemli sayıda dosyaya” erişildi ancak yukarıda belirtilen rakama yer verilmedi.
Öldürmek söyler Sınır, “Sistemlerimizde bir veri güvenliği olayının meydana geldiğine veya bu saldırılarda kullanılan hesap bilgilerinin kaynağının 23andMe olduğuna dair hâlâ herhangi bir belirtiye sahip değiliz.” Bu açıklama, 6,9 milyon kullanıcıya ait bilgilerin artık saldırganların elinde olduğu gerçeğiyle çelişiyor. Bu kişilerin büyük çoğunluğu, 23andMe tarafından sağlanan ve bilgiye erişimi sınırlandırarak ya da ek hesap güvenliği gerektirerek ihlali önleyemeyen bir özelliği tercih ettikleri için etkileniyor.
Sorunun ilk kamuya açık işaretleri Ekim ayında 23andMe’nin kullanıcı bilgilerinin dark web’de satışa sunulduğunu doğrulamasıyla ortaya çıktı. Genetik test sitesi daha sonra, bir bilgisayar korsanının Büyük Britanya’daki insanlardan ve “ABD ve Batı Avrupa’da yaşayan en zengin insanlardan” 4 milyon genetik profil sızdırdığı yönündeki iddialarını araştırdığını söyledi.
Sızdırılan 5,5 milyon DNA Akraba profili, ilk kimlik bilgileri doldurma saldırısının parçası olmayan kullanıcıları içeriyordu. Ortaya çıkan veriler arasında görünen adlar, başkalarıyla tahmin edilen ilişkiler, kullanıcıların eşleşmelerle paylaştığı DNA miktarı, soy raporları, kendi bildirdiği konumlar, ataların doğum yerleri, aile adları, profil resimleri ve daha fazlası gibi şeyler yer alıyor.
DNA Akrabaları özelliğine de katılan geri kalan 1,4 milyon kullanıcının soy ağacı profillerine erişim sağlandı. Bu özellik benzer şekilde görünen adları, ilişki etiketlerini, doğum yılını ve kişinin bildirdiği yerleri içerir. Sitedeki potansiyel akrabalarla paylaşılan DNA yüzdesini veya eşleşen DNA bölümlerini içermez.
23veMe diyor ihlalden etkilenen kullanıcıları bilgilendirme süreci devam ediyor. Ayrıca kullanıcıları şifrelerini sıfırlamaları konusunda uyarmaya başladı ve artık yeni ve mevcut kullanıcılar için daha önce isteğe bağlı olan iki adımlı doğrulamayı zorunlu kılıyor.