23andMe, 18 Milyon Dolarlık Veri İhlali Uzlaşmasında Yeni Güvenlik Yükümlülükleriyle Karşı Karşıya Yazılım

23andMe, 18 Milyon Dolarlık Veri İhlali Uzlaşmasında Yeni Güvenlik Yükümlülükleriyle Karşı Karşıya

23andMe, 2023 veri ihlali nedeniyle 42 eyaletle 18 milyon dolarlık uzlaşma sağladı ve yeni güvenlik önlemleri kabul etti.

Genetik test firması 23andMe, 2023 yılında yaşanan büyük veri ihlalinin ardından 42 ABD eyalet başsavcısından oluşan bir koalisyonla 18 milyon dolarlık bir uzlaşmaya vardı. New York Başsavcısı Letitia James liderliğindeki iki partili koalisyon, şirketin müşteri verilerini korumak için yeni veri güvenliği gereklilikleri getirilmesini de sağladı. Anlaşma kapsamında 23andMe, New York'a 705.000 doların üzerinde tazminat ödeyecek.

Ekim 2023'te genetik test firması, siber suçluların kimlik bilgisi doldurma (credential stuffing) saldırısıyla müşterilerinin profil bilgilerine eriştiğini doğrulamıştı. Şirket, saldırının kendi ağlarına sızma yoluyla değil, müşterilerin zayıf parola yönetimi ve çok faktörlü kimlik doğrulama (MFA) eksikliği nedeniyle gerçekleştiğini açıkladı. İhlalde soy bilgisi de dahil olmak üzere altı milyondan fazla kişinin verisi ele geçirildi.

Mart 2025'te 23andMe iflas koruma başvurusunda bulundu. Başsavcı James, koalisyonla birlikte veri ihlali soruşturmasına ilişkin taleplerde bulunduklarını açıkladı. Haziran 2025'te ise Başsavcı James ve 27 eyalet başsavcısı, şirketin iflası sırasında Amerikalıların genetik bilgilerini korumak için 23andMe'ye dava açtı.

İflas sürecinde 23andMe'nin müşteri verileri, şirketin kurucusu ve eski CEO'su Anne Wojcicki tarafından kurulan kar amacı gütmeyen bir kuruluş olan TTAM Research'a satıldı. Başsavcı James ve koalisyon, TTAM'da müşteri verilerini korumak ve gelecekteki ihlalleri önlemek için yeni bilgi ve veri güvenliği gereklilikleri getirilmesini sağladı. Bu önlemler arasında uygun risk analizi, veri güvenliği danışma kurulu oluşturulması ve tüketicilere verilerini silme hakkının sunulması yer alıyor.

Sonuç ve Değerlendirme

Başsavcı James konuyla ilgili yaptığı açıklamada, 'Şirketlerin müşterilerinin kişisel bilgilerini bilgisayar korsanlarından koruma yükümlülüğü vardır, ancak 23andMe zayıf güvenlik önlemleriyle milyonlarca müşterisini riske attı. New Yorklular hassas genetik verilerini 23andMe'ye emanet etti, ancak bu verilerin çalınıp internetin karanlık köşelerinde satışa sunulduğunu gördü. Koalisyonumuzun eylemi sayesinde 23andMe yasayı ihlal ettiği için tazminat ödeyecek ve müşterilerini korumak için katı kurallar getirilecek' dedi.

Uzmanların Görüşleri

Bu uzlaşma, 7 Temmuz'da bir ABD iflas hakimi tarafından onaylanan ve veri ihlali mağdurlarına tazminat olarak ödenecek 46,75 milyon dolarlık uzlaşmaya ek olarak geldi. Ancak 10 Temmuz'da bir iflas hakimi, California'nın Bölüm 11 yeniden yapılanma planı nedeniyle şirketten tazminat talep edemeyeceğine hükmetti. Yine de hakim, California'ya 28 Mayıs'ta açtığı davayı geri çekmesi veya maddi tazminat taleplerini kaldıracak şekilde değiştirmesi için 14 gün süre tanıdı.

Kaynak: infosecurity-magazine.com

Paylaş: