bakan 30’dan fazla dava 23andMe, büyük veri ihlalinin kurbanlarından, kendisini her türlü sorumluluktan kurtarmak amacıyla suçu kurbanların kendilerine atıyor. TechCrunch tarafından görülen bir grup kurbana gönderilen bir mektuba göre.
23andMe’den mektubu alan kurbanları temsil eden avukatlardan biri olan Hassan Zavareei, “23andMe, bu veri güvenliği felaketindeki rolünü kabul etmek yerine, görünüşe göre bu olayların ciddiyetini küçümseyerek müşterilerini kurumaya bırakmaya karar verdi” dedi. Bir e-postada TechCrunch.
Aralık ayında 23andMe, bilgisayar korsanlarının müşterilerinin neredeyse yarısını oluşturan 6,9 milyon kullanıcının genetik ve soy verilerini çaldığını itiraf etmişti.
Veri ihlali, bilgisayar korsanlarının yalnızca yaklaşık 14.000 kullanıcı hesabına erişmesiyle başladı. Bilgisayar korsanları, kimlik bilgileri doldurma olarak bilinen bir teknikle, hedeflenen müşterilerle ilişkili olduğu bilinen şifrelere sahip hesaplara kaba kuvvet uygulayarak bu ilk kurban grubuna sızdılar.
Ancak bilgisayar korsanları, bu ilk 14.000 kurbandan diğer 6,9 milyon kurbanın kişisel verilerine erişebildiler çünkü onlar 23andMe’yi seçmişlerdi. DNA Akrabaları özellik. İsteğe bağlı bu özellik, müşterilerin bazı verilerini platformda akrabası kabul edilen kişilerle otomatik olarak paylaşmasına olanak tanıyor.
Başka bir deyişle, bilgisayar korsanları yalnızca 14.000 müşterinin hesabını hackleyerek, hesapları doğrudan saldırıya uğramamış diğer 6,9 milyon müşterinin kişisel verilerini ele geçirdi.
Ancak şu anda şirkete dava açan yüzlerce 23andMe kullanıcısından oluşan bir gruba gönderilen bir mektupta 23andMe, “kullanıcıların 23andMe ile ilgisi olmayan bu geçmiş güvenlik olaylarının ardından şifrelerini ihmalkar bir şekilde geri dönüştürdüklerini ve güncellemediklerini” söyledi.
Mektupta, “Dolayısıyla olay, 23andMe’nin makul güvenlik önlemlerini almadığı iddiasının bir sonucu değildi” deniyor.
Zavareei, 23andMe’nin “utanmadan” veri ihlali mağdurlarını suçladığını söyledi.
“Bu parmakla işaret etmek saçma. 23andMe, birçok tüketicinin geri dönüştürülmüş şifreler kullandığını ve bu nedenle 23andMe’nin, özellikle 23andMe’nin kişisel kimlik bilgilerini, sağlık bilgilerini ve genetik bilgileri platformunda sakladığı göz önüne alındığında, kimlik bilgilerinin doldurulmasına karşı koruma sağlamak için mevcut birçok önlemden bazılarını uygulaması gerektiğini biliyordu veya bilmesi gerekirdi. ” Zavareei bir e-postada söyledi.
“İhlal, verileri geri dönüştürülmüş şifreler kullandıkları için değil, 23andMe platformundaki DNA Relatives özelliği aracılığıyla açığa çıkan milyonlarca tüketiciyi etkiledi. Bu milyonlarca hesaptan yalnızca birkaç bini kimlik bilgilerinin doldurulması nedeniyle ele geçirildi. 23andMe’nin müşterilerini suçlayarak sorumluluktan kaçma girişimi, verileri hiçbir şekilde kendi hataları olmadan ele geçirilen bu milyonlarca tüketici için hiçbir şey yapmaz,” dedi Zavareei.
Bize Ulaşın
23andMe olayı hakkında daha fazla bilginiz var mı? Sizden haber almayı çok isteriz. Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
Veri ihlalinden etkilenen 23andMe müşterisi Dante Termohs, 23andMe’nin mektubuna yanıt olarak TechCrunch’a “23andMe’nin müşterilerine yardım etmek yerine sonuçlardan saklanmaya çalışmasını dehşet verici” bulduğunu söyledi.
23andMe’nin avukatları, çalınan verilerin mağdurlara maddi zarar vermek için kullanılamayacağını savundu.
“Erişim potansiyeli olan bilgiler herhangi bir zarar vermek amacıyla kullanılamaz. 6 Ekim 2023 tarihli blog yazısında açıklandığı gibi, erişilmiş olabilecek profil bilgileri, bir müşterinin 23andMe platformunda oluşturduğu ve diğer kullanıcılarla paylaşmayı seçtiği DNA Akrabaları özelliği ile ilgilidir. Bu tür bilgiler yalnızca davacıların bu bilgileri DNA Akrabaları özelliği aracılığıyla diğer kullanıcılarla paylaşmayı olumlu bir şekilde seçmeleri durumunda mevcut olacaktır. Ayrıca, yetkisiz aktörün davacılar hakkında potansiyel olarak elde ettiği bilgiler maddi zarara yol açmak için kullanılamaz (bu bilgiler, davacıların sosyal güvenlik numaralarını, ehliyet numaralarını veya herhangi bir ödeme veya mali bilgileri içermiyordu),” diye yazıyordu mektupta.
23andMe ve avukatlarından biri TechCrunch’ın yorum talebine yanıt vermedi.
İhlalin açıklanmasının ardından 23andMe, tüm müşteri şifrelerini sıfırladı ve ardından tüm müşterilerin, ihlalden önce yalnızca isteğe bağlı olan çok faktörlü kimlik doğrulamayı kullanmasını zorunlu kıldı.
Kaçınılmaz toplu davalar ve kitlesel tahkim iddialarını önlemek amacıyla 23andMe, mağdurların şirkete karşı yasal bir dava açarken bir araya gelmelerini zorlaştırmak için hizmet şartlarını değiştirdi. Veri ihlali mağdurlarını temsil etme deneyimi olan avukatlar TechCrunch’a değişikliklerin “alaycı”, “kendi kendine hizmet eden” ve kendisini korumaya ve müşterileri şirketin peşine düşmekten caydırmaya yönelik “umutsuz bir girişim” olduğunu söyledi.
Açıkçası, değişiklikler şu anda bir telaş haline gelen şeyi durdurmadı. toplu davalar.