23andMe, 43 Eyaletle Anlaştı: Genetik Veri İhlali Nedeniyle 18 Milyon Dolar Tazminat Ödeyecek Siber Güvenlik

23andMe, 43 Eyaletle Anlaştı: Genetik Veri İhlali Nedeniyle 18 Milyon Dolar Tazminat Ödeyecek

Genetik test şirketi 23andMe, 2023'te yaşanan büyük veri ihlali nedeniyle 43 eyalet başsavcısıyla 18 milyon dolarlık anlaşmaya vardı.

23andMe (şimdi Chrome Holding Co.), 43 eyalet başsavcısından oluşan bir koalisyonla 18 milyon dolar tutarında bir anlaşmaya vardı. Anlaşma, şirketin müşterilerinin genetik verilerini korumada yetersiz kaldığı iddialarını çözüme kavuşturuyor. 2023 Ekim ayında ortaya çıkan büyük veri ihlali, Nisan 2023'ten Eylül 2023'e kadar beş ay boyunca fark edilmeyen kimlik bilgisi doldurma saldırıları sonucu gerçekleşti. Saldırganlar, 6.9 milyon müşterinin genetik soy bilgilerini çaldı ve bir kısmını karanlık ağda satışa sundu.

New York Başsavcısı Letitia James, olayın ardından başlatılan çok eyaletli soruşturmanın, şirketin siber güvenlikte temel önlemlerden yoksun olduğunu ortaya koyduğunu belirtti. 23andMe, parola kara listesi, çok faktörlü kimlik doğrulama, yeterli hız sınırlama, izinsiz giriş önleme ve ihlal tespit izleme gibi temel güvenlik önlemlerini uygulamamıştı. Ayrıca şirket, olağandışı giriş aktivitelerini ele almakta ve bilinen güvenlik açıklarını gidermekte başarısız oldu. Başlangıçta bir ihlal olduğunu reddeden 23andMe, daha sonra olayı müşterilerinin hesap ve parola alışkanlıklarına bağladı.

Anlaşma kapsamında şirket, bir veri güvenliği danışma kurulu oluşturmayı, risk analizi protokolleri uygulamayı ve tüketicilere verilerini silme hakkını sürdürmeyi kabul etti. James, "Şirketler müşterilerinin kişisel bilgilerini bilgisayar korsanlarından korumakla yükümlüdür, ancak 23andMe zayıf güvenlik önlemleriyle milyonlarca müşterisini riske attı. New Yorklular, hassas ve kişisel genetik verilerini 23andMe'ye emanet etti, ancak verileri çalınıp internetin karanlık köşelerinde satışa sunuldu. Koalisyonumuzun eylemi sonucunda 23andMe kanunu ihlal ettiği için ödeme yapacak ve müşterilerini korumak için katı kurallar getirilecek." dedi.

Uzmanların Görüşleri

2023 veri ihlali, birden fazla toplu dava açılmasına yol açtı. 23andMe, Kasım 2023'te Kullanım Koşulları'nı değiştirerek dava açılmasını zorlaştırmaya çalıştı, ancak değişikliklerin yalnızca tahkim sürecini basitleştirmeyi amaçladığını iddia etti. Eylül 2024'te Kaliforniya merkezli genetik test sağlayıcısı, 2023 ihlaliyle ilgili bir toplu davayı 30 milyon dolar ödeyerek çözmeyi kabul etti. Mart 2025'te 23andMe, Bölüm 11 iflasını başvurdu ve varlıklarını satma planlarını duyurdu. Bu durum, James ve koalisyonun ilgili taleplerde bulunmasına yol açtı.

Haziran 2025'te James ve 27 diğer başsavcı, iflas işlemleri sırasında müşterilerin genetik verilerini korumak için dava açtı. Aynı ay, Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), 23andMe'ye 2023 ihlaline yol açan 'ciddi güvenlik kusurları' nedeniyle 2.31 milyon sterlin (3.12 milyon dolar) para cezası kesti. Dört ay sonra, Temmuz 2025'te, 23andMe'nin kurucu ortağı Anne Wojcicki liderliğindeki TTAM Research Institute (23andMe Research Institute olarak yeniden tescil edildi), DNA test devinin tüm varlıklarını 305 milyon dolar karşılığında satın almayı tamamladı.

Bu anlaşma, genetik veri güvenliği konusunda önemli bir dönüm noktasıdır. Tüketiciler, kişisel verilerini paylaşmadan önce şirketlerin güvenlik önlemlerini dikkatlice değerlendirmeli ve mümkünse çok faktörlü kimlik doğrulama gibi ek korumalar kullanmalıdır. Ayrıca, genetik test hizmetlerinden yararlanan kullanıcıların, verilerinin silinmesi ve paylaşım izinleri konusunda haklarını bilmeleri büyük önem taşımaktadır. 23andMe'nin iflas ve satış süreci, genetik verilerin kurumsal dönüşümlerde nasıl korunacağına dair soru işaretlerini de beraberinde getiriyor.

Kaynak: bleepingcomputer.com

Paylaş: