23andMe Genetik Veri İhlali: 18 Milyon Dolarlık Uzlaşma ve Güvenlik Dersleri Yazılım

23andMe Genetik Veri İhlali: 18 Milyon Dolarlık Uzlaşma ve Güvenlik Dersleri

23andMe, 2023'teki büyük veri ihlalinde 6.9 milyon müşterinin genetik verilerini koruyamadığı için 18 milyon dolar ödeyecek.

Genetik test şirketi 23andMe (şimdiki adıyla Chrome Holding), 43 eyaletin başsavcısından oluşan bir koalisyonla 18 milyon dolarlık bir uzlaşmaya vardı. Uzlaşma, şirketin müşterilerinin genetik verilerini korumada yetersiz kaldığı iddialarını sonuçlandırıyor. New York Başsavcısı Letitia James'in açıklamasına göre, çok eyaletli bir soruşturma, 23andMe'nin siber güvenlik önlemlerindeki ciddi eksiklikleri ortaya çıkardı.

Veri ihlali, Ekim 2023'te kamuoyuna duyuruldu ancak saldırı Nisan 2023'ten Eylül 2023'e kadar beş ay boyunca fark edilmeden devam etmişti. Saldırganlar, kimlik bilgisi doldurma (credential stuffing) yöntemiyle 6.9 milyon müşterinin genetik soy bilgilerini çaldı. Çalınan veriler daha sonra dark web'de satışa sunuldu ve saldırganlar milyonlarca genetik profili sızdırarak verilerin gerçek olduğunu kanıtlamaya çalıştı.

Soruşturma, 23andMe'nin temel güvenlik önlemlerinden yoksun olduğunu gösterdi: parola blok listesi, çok faktörlü kimlik doğrulama, yeterli hız sınırlama, izinsiz giriş önleme ve ihlal tespit izleme gibi kritik kontroller bulunmuyordu. Ayrıca şirket, olağandışı giriş aktivitelerini ele almakta başarısız oldu ve bilinen güvenlik açıklarını düzeltmedi. İlk başta ihlali reddeden 23andMe, daha sonra suçu müşterilerinin hesap ve parola alışkanlıklarına attı.

Uzmanların Görüşleri

Uzlaşma kapsamında 23andMe, yeni güvenlik gereksinimlerini kabul etti: bir veri güvenliği danışma kurulu oluşturulacak, risk analizi protokolleri uygulanacak ve müşterilerin verilerini silme hakkı devam edecek. James, "Şirketler müşterilerinin kişisel bilgilerini bilgisayar korsanlarından korumakla yükümlüdür, ancak 23andMe zayıf güvenlik önlemleriyle milyonlarca müşterisini riske attı" dedi.

Gelecekte Ne Bekleniyor?

2023 veri ihlali, birden fazla toplu dava açılmasına da yol açtı. 23andMe, Kasım 2023'te Kullanım Koşulları'nı değiştirerek dava açmayı zorlaştırmaya çalıştı. Eylül 2024'te 30 milyon dolarlık bir toplu dava uzlaşmasına imza attı. Mart 2025'te ise Bölüm 11 iflas başvurusu yaparak varlıklarını satma planlarını duyurdu. Bu süreçte başsavcılar, müşteri verilerini korumak için dava açtı.

Haziran 2025'te İngiltere Bilgi Komiserliği Ofisi (ICO), 23andMe'ye 2.31 milyon sterlin (3.12 milyon dolar) para cezası kesti. Temmuz 2025'te ise 23andMe Research Institute (eski adıyla TTAM Research Institute), DNA test devini 305 milyon dolara satın alarak şirketin varlıklarını devraldı. Bu olay, genetik veri güvenliğinin önemini bir kez daha vurguluyor.

Kaynak: bleepingcomputer.com

Paylaş: