California AG, 23andMe Üzerine Dava Açtı
California Başsavcısı Rob Bonta, 23andMe (şu anki adıyla Chrome Holding Co.) şirketine, müşterilerin genetik ve kişisel bilgilerini koruyamadığı için dava açtı. 2023 yılında yaşanan bu veri ihlali, yaklaşık 7 milyon müşterinin hassas bilgilerinin açığa çıkmasına neden oldu.
Olayın Detayları
2023 yılı Ekim ayında, tehdit aktörlerinin 23andMe’den çalınan kayıtları satmaya çalıştıkları ve bu bilgilerin doğruluğunu kanıtlamak için veri örneklerini sızdırdıkları ortaya çıktı. Şirket, sızdırılan verilerin gerçek olduğunu doğruladı ve bu bilgilerin, zayıf kimlik bilgilerine sahip hesapları hedef alan bir credential-stuffing saldırısı sonrası elde edildiğini iddia etti.
saldırganların, platformun “DNA Akrabaları” özelliğine dahil olan kullanıcıların verilerini sızdırdığı, ardından ise bu özelliği kullanmayan çok daha büyük bir hesap kümesine erişim sağladığı anlaşıldı. Toplamda, olay yaklaşık 6.9 milyon müşterinin genetik verileri, sağlık yatkınlık bilgileri, soy ve etnik köken bilgileri, biyolojik akrabalar ve DNA eşleşmeleri gibi kritik verileri açığa çıkardı.
Etkilenen Sistemler
Veri ihlalinden etkilenen kullanıcılar arasında:
- 855,541 Kaliforniya sakini
- Ayrıca diğer eyaletlerden toplamda 7 milyon kullanıcı
Veri sızıntısı kapsamında açığa çıkan bilgiler:
- Genetik veriler
- Sağlık yatkınlık bilgileri
- Soy ve etnik köken bilgileri
- Biyolojik akrabalar
- DNA eşleşmeleri
Çözüm ve Korunma
2023 sonunda şikayetler üzerine 23andMe, bir dizi davayla karşı karşıya kaldı ve 2024 yılının başında ulusal veri koruma otoriteleri tarafından başlatılan soruşturmalar sonucunda şirket, milyonlarca dolarlık cezalara maruz kaldı. Şirket, yukarıda belirtilen davaları yanıtlama sürecinde iflas başvurusunda bulundu.
Bağımsız soruşturmalarda, şirketin güvenlik standartlarının yetersiz olduğu ve saldırıyı tespit etmekte geciktiği iddia edildi. Başsavcı Bonta, ayrıca 23andMe’nin olaydan önce yüksek güvenlik standartlarına sahip olduğunu belirttiğini, daha sonra ise olayın ciddiyetini küçümseyerek müşteri hatalarını suçladığını vurguladı.
Başsavcı, bu eylemlerin California Genetik Bilgi Gizliliği Yasası, California Makul Veri Güvenliği Yasası, California Tüketici Gizliliği Yasası (CCPA), Yanıltıcı Reklam Yasası ve Haksız Rekabet Yasası gibi çeşitli eyalet yasalarını ihlal ettiğini savundu.
Dava, daha ileri ihlalleri önlemek için bir ihtiyati tedbir talep ediyor ve her bir ihlal için 1,000-7,500 dolar ceza uygulanmasını öngörüyor.
Sonuç ve Tavsiyeler
Kullanıcıların, güvenlik ihlalleri ve potansiyel veri sızıntıları riskine karşı tedbir almaları gerekmektedir. Şu adımları atmanızı tavsiye ediyoruz:
- Hızla parola değişiklikleri yapın.
- Hesaplarınızda güçlü parolalar kullanın ve aynı parolayı birden fazla yerde kullanmaktan kaçının.
- İki faktörlü kimlik doğrulamayı etkinleştirin.
- Olası veri ihlalleri hakkında güncellemeleri takip edin.
Bu adımları takip ederek, kişisel bilgilerinizi koruma ve veri ihlallerinden kaynaklanan riskleri azaltma şansınızı artırabilirsiniz.
