Bu hafta sonu düzenleyici kurumlara gönderilen bir veri ihlali bildirim mektubunda 23andMe, bilgisayar korsanlarının müşterilerin hesaplarına Nisan 2023’te girmeye başladığını ve Eylül ayının büyük bir bölümünde de devam ettiğini ortaya çıkardı.
Başka bir deyişle, yaklaşık beş ay boyunca 23andMe, bilgisayar korsanlarının müşterilerin hesaplarına kaba kuvvetle erişmeye çalıştığı ve çoğu zaman başarılı olduğu bir dizi siber saldırı tespit etmedi. Kaliforniya başsavcılığına gönderilen, yasal olarak gerekli olan 23andMe dosyasına göre.
Bilgisayar korsanlarının 23andMe müşterilerini hedeflemeye başlamasından aylar sonra şirket, bilgisayar korsanlarının 6,9 milyon kullanıcının, yani müşterilerinin yaklaşık yarısının soy ve genetik verilerini çaldığını ortaya çıkardı.
Şirkete göre 23andMe, Ekim ayında bilgisayar korsanlarının çalınan verileri resmi olmayan 23andMe alt dizisinde ve ayrı olarak kötü şöhretli bir bilgisayar korsanlığı forumunda yayınlanan gönderilerde tanıtmasıyla ihlalin farkına vardı. TechCrunch’ın bildirdiği gibi 23andMe, bilgisayar korsanlarının ağustos ayının başlarında başka bir bilgisayar korsanlığı forumunda çalınan verilerin reklamını yaptığını da fark etmedi.
Bize Ulaşın
Bu hack hakkında daha fazla bilginiz var mı? Sizden haber almayı çok isteriz. Çalışmayan bir cihazdan, +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
23andMe’nin daha sonra itiraf ettiği gibi, bilgisayar korsanları, halihazırda kamuya açıklanmış ve diğer ihlallerden kaynaklanan e-posta adresleriyle ilişkilendirilmiş şifreleri kullanan hesaplara kaba kuvvet uygulayarak yaklaşık 14.000 müşterinin hesaplarına erişmeyi başardılar. Bu hesaplara erişim sağlayan bilgisayar korsanları, 6,9 milyon müşterinin verilerini çaldı. DNA Akrabaları Müşterilerin bazı verilerini 23andMe’nin akraba olarak sınıflandırdığı diğer kişilerle otomatik olarak paylaşmasına olanak tanıyan özellik. Çalınan veriler arasında kişinin adı, doğum yılı, ilişki etiketleri, akrabalarıyla paylaşılan DNA yüzdesi, soy raporları ve kişinin bildirdiği konum yer alıyordu.
23andMe sözcüleri, TechCrunch’ın ihlalin bu kadar uzun süre nasıl fark edilemediğine ilişkin soruları içeren yorum talebine hemen yanıt vermedi.
Müşterilere ihlalin mağduru oldukları bildirildikten sonra, şirket hizmet şartlarını değiştirerek mağdurların hukuki davalarda bir araya gelmesini zorlaştırmaya çalışsa da, ABD ve Kanada’da birçok mağdur 23andMe’ye karşı toplu dava açtı. . Veri ihlali avukatları, hizmet şartlarındaki değişiklikleri “alaycı”, “kendi kendine hizmet eden” ve 23andMe’yi kendi müşterilerine karşı korumaya yönelik “umutsuz bir girişim” olarak nitelendirdi.
Davalardan birinde 23andMe, kullanıcıları yeniden kullanılan şifreleri kullandıkları iddiasıyla suçlayarak yanıt verdi.
“Kullanıcılar, 23andMe ile ilgisi olmayan geçmiş güvenlik olaylarının ardından ihmalkar bir şekilde şifrelerini geri dönüştürdüler ve güncellemeyi başaramadılar.” 23andMe bir mektupta kurbanların haklarını ihlal ettiğini iddia etti. “Olay, 23andMe’nin makul güvenlik önlemlerini almadığı iddiasının bir sonucu değildi.”