İngiltere ve Kanada’daki gizlilik gözlemcileri, geçen yıl 23andMe’deki veri ihlaline ilişkin ortak bir soruşturma başlattı.
Pazartesi günü, Birleşik Krallık Bilgi Komiserliği Ofisi (ICO) ve Kanada Gizlilik Komiserliği Ofisi (OPC) Soruşturmalarını açıkladı genetik test şirketine katılarak kuruluşların “iki ofisinin birleşik kaynaklarından ve uzmanlığından” yararlanacağını söyledi.
Geçen yıl 23andMe, 6,9 milyon kullanıcının, yani genel kullanıcı tabanının kabaca yarısının genetik ve soy verilerini etkileyen bir güvenlik olayını açıklamıştı. Şirket, veri ihlali bildirimlerinde, bilgisayar korsanlarının faaliyetlerini Nisan’dan Eylül 2023’e kadar yaklaşık beş ay boyunca tespit edemediğini söyledi. 23andMe, hesap ihlallerinden yalnızca Ekim 2023’te, bilgisayar korsanlarının çalınan verilerin reklamını yaptığında haberdar olduğunu söyledi. resmi olmayan 23andMe alt dizini ve tanınmış bir bilgisayar korsanlığı forumu.
Çalınan veriler arasında kişinin adı, doğum yılı, ilişki etiketleri, akrabalarıyla paylaşılan DNA yüzdesi, soy raporları ve kişinin bildirdiği konum yer alıyordu.
Bilgisayar korsanları, parola püskürtme olarak bilinen bir teknikle, önceki ihlallerdeki parolaları yeniden kullanarak 23andMe müşterilerinin yaklaşık 14.000 hesabına girdi. Bilgisayar korsanları, bu 14.000 hesaptan, DNA Relatives adı verilen ve kullanıcıların bazı verilerini otomatik olarak kendileri de kaydolan diğer kişilerle paylaşmalarına olanak tanıyan bir katılım özelliği sayesinde milyonlarca başka insan hakkında bilgi toplamayı başardılar. uzaktaki akrabaların ortaya çıkarılması amaçlanıyor. Bilgisayar korsanları bu şekilde yalnızca 14.000 hesabı hackleyerek 6,9 milyon kullanıcının bilgilerini ele geçirmeyi başardı.
ICO Komiseri John Edwards, yaptığı açıklamada, insanların “en hassas kişisel bilgilerini kullanan herhangi bir kuruluşun uygun güvenlik ve koruma önlemlerine sahip olduğuna güvenmeleri gerektiğini” söylediği aktarıldı.
Edwards, “Bu veri ihlalinin uluslararası bir etkisi oldu ve Birleşik Krallık’taki kişilerin kişisel bilgilerinin korunmasını sağlamak için Kanadalı mevkidaşlarımızla işbirliği yapmayı sabırsızlıkla bekliyoruz” dedi.
Birleşik Krallık-Kanada ortak soruşturması, ifşa edilen bilgilerin kapsamını ve mağdurlara gelebilecek olası zararları inceleyecek; 23andMe’nin kullanıcıların hassas verilerini korumak için “yeterli güvenlik önlemlerine” sahip olup olmadığı; ve 23andMe’nin ICO ve OPC’ye “yeterli bildirimde bulunup bulunmadığı”.
23andMe sözcüleri yorum talebine hemen yanıt vermedi.
