Genetik test şirketi 23andMe Cuma günü yaptığı açıklamada, bilgisayar korsanlarının şirketin son veri ihlalinde yaklaşık 14.000 müşteri hesabına eriştiğini duyurdu.
ABD Menkul Kıymetler ve Borsa Komisyonu’na sunulan yeni bir dosyada Cuma günü yayınlanan açıklamada şirket, olayla ilgili yaptığı soruşturmaya dayanarak bilgisayar korsanlarının müşteri tabanının %0,1’ine eriştiğini belirlediğini söyledi. Şirketin en son yıllık kazanç raporuna göre23andMe’nin “dünya çapında 14 milyondan fazla müşterisi” var, bu da %0,1’inin 14.000 civarında olduğu anlamına geliyor.
Ancak şirket ayrıca, bilgisayar korsanlarının bu hesaplara erişerek “23andMe’nin DNA Akrabaları özelliğini etkinleştirirken paylaşmayı seçtikleri, diğer kullanıcıların soylarıyla ilgili profil bilgilerini içeren önemli sayıda dosyaya” da erişebildiğini söyledi.
Şirket, bu “önemli sayıdaki” dosyanın ne olduğunu veya bu “diğer kullanıcıların” kaçının etkilendiğini belirtmedi.
23andMe, bu rakamlarla ilgili soruları içeren yorum talebine hemen yanıt vermedi.
Ekim ayı başlarında 23andMe, bilgisayar korsanlarının “kimlik bilgisi doldurma” olarak bilinen yaygın bir teknik kullanarak bazı kullanıcıların verilerini çaldığı bir olayı açığa çıkardı; bu teknikte siber suçlular, bilinen bir şifreyi kullanarak bir kurbanın hesabına giriyor ve muhtemelen başka bir hesaptaki veri ihlali nedeniyle sızdırılmış oluyor. hizmet.
Ancak hasar, hesaplarına erişilen müşterilerle sınırlı kalmadı. 23andMe, kullanıcıların adı verilen bir özelliği seçmelerine olanak tanır DNA Akrabaları. Bir kullanıcı bu özelliği tercih ederse, 23andMe o kullanıcının bazı bilgilerini başkalarıyla paylaşır. Bu, bilgisayar korsanlarının bir kurbanın hesabına erişerek o ilk kurbanla bağlantılı kişilerin kişisel verilerini de görebildiği anlamına geliyor.
23andMe, dosyada ilk 14.000 kullanıcı için çalınan verilerin “genel olarak soy bilgilerini ve bu hesapların bir alt kümesi için kullanıcının genetiğine dayanan sağlıkla ilgili bilgileri içerdiğini” söyledi. Diğer kullanıcı alt kümesi için 23andMe yalnızca bilgisayar korsanlarının “profil bilgilerini” çaldığını ve ardından belirtilmemiş “belirli bilgileri” çevrimiçi olarak yayınladığını söyledi.
TechCrunch, yayınlanan çalıntı veri setlerini hobiciler ve soybilimciler tarafından yayınlanan web siteleri de dahil olmak üzere bilinen kamuya açık şecere kayıtlarıyla karşılaştırarak analiz etti. Her ne kadar veri setleri farklı biçimlendirilmiş olsa da, yıllar önce çevrimiçi olarak yayınlanan şecere kayıtlarıyla eşleşen aynı benzersiz kullanıcı ve genetik bilgilerin bir kısmını içeriyordu.
23andMe’nin veri ihlalinde bazı akrabalarının bilgilerinin açığa çıktığı bir şecere web sitesinin sahibi, TechCrunch’a 23andMe aracılığıyla yaklaşık 5.000 akrabasının keşfedildiğini söyledi ve “korelasyonlarımızın bunu hesaba katabileceğini” söyledi.
Veri ihlaliyle ilgili haberler çevrimiçi ortamda ortaya çıktı Ekim ayında bilgisayar korsanları, Aşkenazi kökenli bir milyon Yahudi kullanıcı ve 100.000 Çinli kullanıcıya ait olduğu iddia edilen verileri tanınmış bir bilgisayar korsanlığı forumunda ilan ettiğinde. Yaklaşık iki hafta sonra, çalınan ilk kullanıcı verilerinin reklamını yapan aynı bilgisayar korsanı, dört milyon kişinin daha olduğu iddia edilen kayıtların reklamını yaptı. Bilgisayar korsanı, bireysel kurbanların verilerini 1 ile 10 dolar arasında satmaya çalışıyordu.
TechCrunch, farklı bir bilgisayar korsanlığı forumunda başka bir bilgisayar korsanının, ilk olarak Ekim ayında haber kuruluşları tarafından bildirilen reklamdan iki ay önce, çalındığı iddia edilen kullanıcı verilerinin daha da fazlasının reklamını yaptığını tespit etti. İlk reklamda, bilgisayar korsanı 300 terabaytlık 23andMe kullanıcı verisinin çalındığını iddia etti ve tüm veritabanını satmak için 50 milyon dolar veya verilerin bir alt kümesi için 1.000 ile 10.000 dolar arasında bir ücret talep etti.
Veri ihlaline yanıt olarak 10 Ekim’de 23andMe, kullanıcıları şifrelerini sıfırlamaya ve değiştirmeye zorladı ve onları çok faktörlü kimlik doğrulamayı açmaya teşvik etti. Ve 6 Kasım’da şirket, yeni başvuruya göre tüm kullanıcıların iki adımlı doğrulamayı kullanmasını zorunlu kıldı.
23andMe ihlalinin ardından diğer DNA test şirketleri Ancestry ve MyHeritage, iki faktörlü kimlik doğrulamayı zorunlu kılmaya başladı.
