Ekim ayında meydana gelen 23andMe ihlalinin, ilk başta bildirilenden çok daha kötü olduğu doğrulandı ve ilk başta 14.000 kullanıcının düşündüğünün aksine, 6,9 milyon kişiyi etkiledi.
İhlal sırasında çalınan bilgiler arasında kullanıcıların tam adları, doğum yılları, ilişki etiketleri ve konumları yer alıyordu. Yaklaşık 1,4 milyon kullanıcının da ele geçirilen hizmete ilişkin Aile Ağacı profil bilgileri vardı. Bir sözcüye göre bilgisayar korsanları, ihlal sırasında akrabalarla paylaşılan ortak DNA yüzdeleri ve kromozom eşleşmesi gibi ayrıntılar da dahil olmak üzere genetik bilgilere de erişebilecek.
Raporlar, bu verilerin zaten karaborsada satışa çıktığını, çeşitli etnik grupların zaten hedef alındığını ve kötü aktörlerin tek bir kişinin bilgilerini bir veri seti içinde 1 ila 10 dolar arasında sattığını gösteriyor. Bu arada, soy takibi web sitesi, bu konuyla ilgili herhangi bir yasal şikayetin mahkeme dışında çözülmesi gerektiğinin ayrıntılarını içeren hizmet şartları güncellemelerini kullanıcılara hızlı bir şekilde göndererek izlerini kapatıyor gibi görünüyor. Bu, kullanıcıların, özel bir çözümden vazgeçmedikleri sürece, birincil eylem olarak toplu dava açma girişiminde bulunmalarını engelleyecektir.
Kullanıcılar toplu dava açmak isterlerse, toplu olarak özel bir anlaşmazlığın dışında kalmayı tercih etmeliler ve bunu, 30 Aralık olan güncellemeden sonraki 30 gün içinde [email protected] adresine e-posta göndererek yapabilirler. Bu bilgi, bu belgenin sonunda ayrıntılı olarak verilmiştir. 23andMe hizmet şartları güncellemesinin beşinci bölümü, Gizmodo kayıt edilmiş.
Konuyla ilgili bir açıklamada 23andMe, sorumluluğu daha da ileri taşımaya çalıştı ve bir açıklamada ihlalin üyelerin diğer hesaplardaki şifreleri yeniden kullanması nedeniyle meydana geldiğini detaylandırdı. Kimlik bilgisi doldurma olarak bilinen bu yaygın siber saldırı, bilgisayar korsanlarının ilk 14.000 hesaba erişmek için zaten sızdırılmış şifreleri toplamasına olanak tanıdı. Bir sözcüye göre, oradan bilgi çalmak için şirketin veri tabanının daha büyük bir kısmına yayılmayı başardılar.
Şu anda, ihlalin ilk etkileri bilinmiyor ancak zaman içinde ortaya çıkacağı kesin. Uzmanlar, tüketici verilerinin çevrimiçi olarak toplanması yasal olsa bile işe alma kararlarını, daire seçimini, kredi başvurularını ve sigorta primlerini etkileyebilecek örtülü önyargı potansiyelinin bulunduğunu ayrıntılı olarak açıkladı. Yasadışı durumlarda kimlik hırsızlığı meydana gelebilir.
Özellikle Meta (eski adıyla Facebook), Nisan ayında, sosyal medya platformunun kullanıcıların ve arkadaşlarının verilerini kâr amacıyla üçüncü taraflara açık bıraktığını detaylandıran 725 milyon dolarlık bir toplu davayı sonuçlandırdı. Davada, Facebook’un üçüncü tarafların kullanıcı verileriyle nasıl etkileşim kurması gerektiğine ilişkin herhangi bir kuralın veya gizlilik korumasının bulunmadığı da belirtildi.
Elektronik Gizlilik Bilgi Merkezi hukuk görevlisi Suzanne Bernstein, yayına yaptığı açıklamada, 23andMe ihlalinin benzer şekilde genetik verilerin yanlış ellere geçmesi ve teşhis veya tıbbi aile geçmişi gibi sağlık bilgilerine dayalı olarak bireyler hakkında çıkarımlarda bulunmak için kullanılma potansiyeline sahip olduğunu söyledi.
Şirketin kullanıcıları güçlü bir şifre hijyenine sahip olmasa da diğer uzmanlar, 23andMe gibi niş bir organizasyonun siber güvenlik açısından konumunu fark etmesi gerektiğini belirtiyor. Bu tür hassas verileri barındırmak, şirketi siber saldırılar için birincil hedef haline getiriyor ve iki faktörlü kimlik doğrulama (2FA) gibi yedek oturum açma gereksinimlerine ihtiyaç duyuyor.