Bu haftanın başlarında 23andMe, Ekim ayındaki bir saldırının gerçekleştiğini itiraf etti. dramatik biçimde daha kötü şirketin ilk başta kabul ettiğinden daha fazla, ilk bildirdiği 14.000 kişiyi değil, 6,9 milyon kişiyi etkiliyor. 23andMe, bunu kullanıcılara erken bir Noel hediyesi olarak sundu: insanları bu hediyeyi almaya zorlayacak bir hizmet şartları güncellemesi. şirkete dava açma hakkından vazgeçmek. Çalınan veriler tam isimleri, genetik bilgileri ve daha fazlasını içeriyor ancak bilgilerin hassasiyetine rağmen bazı tüketiciler omuz silkerek yanıt verdi. Tek olarak TikTok kullanıcısı bir videoya yorum yaptı Konuyla ilgili olarak “Ne yapacaklar beni klonlayacaklar?”
Bilgisayar korsanları muhtemelen DNA bilgilerinizi sizi laboratuvarda yetiştirilen bir erkek kardeş yapmak için kullanmayacaklardır, ancak uzmanlar aynı fikirde: bu hack bir felaket.
Gözetleme Teknolojisi Gözetim Projesi İcra Direktörü Albert Fox Cahn, “Gerçek şu ki, hiçbirimiz bu ihlalin bugünkü sonuçlarını tam olarak bilmiyoruz, yalnızca zamanla daha da kötüleşeceği kesin” dedi. “Bilgisayarlar güçlendikçe DNA verilerini silah haline getirme yeteneği daha da keskinleşecek. Sağlık profillerimizden aile ağaçlarımıza ve biyolojimizin çok daha ince ayrıntılarına kadar, bu hack potansiyel olarak pek çok şeyi ortaya çıkarabilir.”
23andMe sözcüsüne göre bilgisayar korsanları, kişilerin adları, doğum yılı, ilişki etiketleri, soyadı ve konumu gibi verileri çaldı. DNA Akrabaları’na kaydolan ilave 1,4 milyon kişinin de “Aile Ağacı profil bilgilerine erişildi.” Ancak en kötüsü genetik bilgiydi. Bilgisayar korsanları yalnızca akrabalarıyla paylaşılan DNA kullanıcılarının yüzdesi hakkındaki bilgileri çalmakla kalmadı, aynı zamanda 23andMe aynı zamanda soy raporlarını ve eşleşen DNA bölümlerini (özellikle kendilerinin ve akrabalarının kromozomlarında eşleşen DNA’nın bulunduğu yer) sızdırdı.
Görünüşe göre bu veriler zaten satışa sunuldu. kablolu Ekim ayında bir kullanıcının, veri ihlali sırasında tanınmış bir bilgisayar korsanlığı forumunda çalınan 23andMe verilerinin reklamını yaptığını bildirmişti. Kullanıcı, Aşkenaz kökenli bir milyon Yahudi kullanıcı ve 100.000 Çinli 23andMe kullanıcısının iddia edilen verilerini kanıt olarak yayınladı ve veri setinde kişi başına 1 ila 10 ABD Doları istedi.
Genel olarak şirketlerin müşterilerini veri ihlallerinden koruma konusunda yasal bir yükümlülüğü vardır. 23andMe hack’i şirketi davalara maruz bırakabilir ancak hukuk ekibi bunu önlemek için hızlı bir güncelleme yayınladı.
23andMe yorum talebine hemen yanıt vermedi.
Şirket geçen hafta bir hizmet şartları güncellemesi yayınladı (tesadüfen, Menkul Kıymetler ve Borsa Komisyonu’na hack fiyaskosunu bildirdiği sıralarda). Politika güncellemesi, kullanıcıları, ilk olarak tarafından bildirildiği gibi, anlaşmazlıkları mahkeme dışında çözmenin bir yolu olan bağlayıcı bir tahkime zorluyor. Yığın Günlüğü. 23andMe, her bir kişi tahkimden çekilmeyi tercih etmediği sürece, şirkete karşı toplu dava açılmasını özellikle yasaklar. Etkilenen bir kişiyseniz, 30 gün içinde, yani 30 Aralık’ta, [email protected] adresine e-posta göndererek vazgeçebilirsiniz. Bu ayrıntı, güncellenmiş hizmet koşulları için beşinci bölümün alt kısmında yer almaktadır.
Çoğu kişi için tüm bu verilerin internette dolaşmasının neden önemli olduğunu tam olarak anlamak zor. Google ve Meta gibi trilyonlarca veri noktası şirketinin daha “meşru” araçlarla ele geçirilmesinin yanı sıra, saldırılar ve ihlaller her zaman meydana geliyor.
Uzmanlara göre sorun, sonuçları nadiren doğrudan hissetmenizdir. Kişisel bilgileriniz kapalı kapılar ardında her türlü amaç için karmaşık ve belirsiz şekillerde kullanılmaktadır. Hayatınız üzerinde dramatik etkileri var; herhangi bir ikilemden hangi verinin sorumlu olduğunu asla bilemezsiniz.
Elektronik Gizlilik Bilgi Merkezi’nde hukuk görevlisi olan Suzanne Bernstein, Gizmodo’ya şöyle konuştu: “Ticari profil oluşturmanın daha geniş sistemine baktığımızda, bazen fırsat kaybını gerçekten etkiliyor.” “Sizden toplanan veriler size neyin teklif edilip edilmeyeceğini belirler. Bu, hangi hedef reklamları gördüğünüz veya hangi e-posta patlamalarını aldığınız gibi zararsız bir şey olabilir, ancak aynı zamanda ayrımcılığa da olanak tanır.
Geçmişte tüketici verileri, belirli demografik özellikleri iş fırsatlarından veya boş dairelerden hariç tutmak için kullanılıyordu. İnternette dolaşan kişisel bilgiler işe alım kararlarında ve kredi başvurularında kullanılıyor, sigorta şirketleri bunu primleri belirlemek için bile kullanıyor. Ve elbette, suçlular ne kadar ayrıntılı bilgi toplayabilirse, kimlik hırsızlığının kurbanı olma olasılığınız da o kadar artar.
Genetik bilginin bu sorunlardan bağlantısız gibi görünse de aslında öyle değil.
Bernstein, genetik bilgilerinizi değiştiremeyeceğinizi, dolayısıyla kendi içinde hassas olduğunu söyledi. “Ancak aynı zamanda teşhis veya tıbbi aile geçmişi gibi diğer sağlık bilgileri hakkında çıkarımlarda bulunmak için de kullanılabilir” dedi. “Bunun daha geniş ekosistemde gerçekleşen profil oluşturmanın bir parçası haline gelmesi konusunda ciddi bir risk var.”
Ve bu, yalnızca DNA bilgilerinin bugün kullanılabildiğini bildiğimiz yollardaki faktörlerdir. Gen bilimi hızla gelişen bir alandır. Bu bilginin gelecekte neler ortaya çıkarabileceğini söylemek mümkün değil.
Kıdemli Araştırmacı Justin Sherman şunları söyledi: “Gizlilik ve gözetim büyük ölçüde bağlamsaldır ve yeni genetik analiz, hedefleme ve gözetim teknolojileri geliştirildikçe, genetik veri gizliliği ve gözetimi etrafındaki bağlam artık pek çok insanın öngöremeyeceği şekilde büyük ölçüde değişecektir.” Duke’s Sanford Kamu Politikası Okulu ve Küresel Siber Stratejiler’in kurucusu.
23andMe sorumluluğundan tamamen vazgeçmeyi bıraktı, ancak hackle ilgili kamuoyuna yaptığı açıklamalarda kurbanı suçluyormuş gibi bir hava var. Bir sözcü, veri ihlalinin insanların diğer hesaplarda kullandıkları şifreleri geri dönüştürmesinden kaynaklandığını söyledi. Görünüşe göre bilgisayar korsanları, 14.000 kişinin hesabına sızmak için başka yerlere sızan şifreleri kullandı; bu, kimlik bilgisi doldurma olarak bilinen son derece basit bir güvenlik ihlaliydi.
23andMe, müşterilere verilerini diğer kullanıcılardan şirketin ilaç endüstrisindeki ortaklarına kadar herkesle paylaşmaya zorlayan bir veri toplayıcı panoptikon olarak tasarlandığından, bilgisayar korsanları bu 14.000 ele geçirilmiş hesabı kullanarak dünya üzerindeki milyonlarca kişi hakkında bilgi çalmayı başardı. platformu.
Parolaları yeniden kullanmak sorun yaratır ancak güvenlik uzmanları, kötü parola uygulamalarının bir garanti olduğunun bilincindedir. Uzmanlara göre 23andMe saldırısı kolaylıkla önlenebilirdi.
Dijital güvenlik şirketi Disconnect’in Teknolojiden Sorumlu Başkanı Patrick Jackson, “23andMe’nin hesap erişimi için iki faktörlü kimlik doğrulama (2FA) gerektirmeyi ihmal etmesi kabul edilemez” dedi. “Saldırganlar genellikle 23andMe gibi hassas verilere sahip siteleri, özellikle de gerekli 2FA’ya sahip olmayan siteleri hedef alıyor ve bu siteleri kimlik bilgisi doldurma saldırılarına karşı savunmasız hale getiriyor.”