Genetik test firması 23andMe, 2023 yılında meydana gelen ve 6 milyondan fazla kullanıcının genetik ve soy bilgilerinin çalınmasıyla sonuçlanan veri ihlali nedeniyle 42 ABD eyaletiyle 18 milyon dolarlık bir uzlaşma sağladı. New York Başsavcısı Letitia James liderliğindeki iki partili koalisyon, şirketin müşteri verilerini korumak için yeni güvenlik zorunlulukları getirilmesini de sağladı. Uzlaşma kapsamında 23andMe, New York eyaletine 705.000 doların üzerinde tazminat ödeyecek.
Ekim 2023'te gerçekleşen ihlal, siber suçluların kimlik avı kampanyasıyla kullanıcı hesaplarına sızması sonucu ortaya çıktı. Şirket, saldırının kendi ağlarına doğrudan bir sızma olmadığını, bunun yerine kullanıcıların zayıf parola yönetimi ve çok faktörlü kimlik doğrulama (MFA) eksikliğinden kaynaklandığını açıkladı. Ancak bu açıklama, başsavcıların şirketi yeterli güvenlik önlemleri almadığı için sorumlu tutmasını engellemedi.
Mart 2025'te iflas koruma başvurusu yapan 23andMe, Haziran 2025'te 27 eyalet başsavcısı tarafından iflas sürecinde müşteri verilerini korumamakla suçlanarak dava edildi. İflas sonucunda şirketin müşteri verileri, kurucu ve eski CEO Anne Wojcicki tarafından oluşturulan kar amacı gütmeyen bir kuruluş olan TTAM Research'e satıldı. Bu satış, gizlilik endişelerini daha da artırdı.
Uzlaşma anlaşması kapsamında TTAM Research için yeni güvenlik önlemleri getirildi. Bunlar arasında risk analizi yapılması, veri güvenliği danışma kurulu oluşturulması ve kullanıcılara verilerini silme hakkının sürekli olarak sunulması yer alıyor. Başsavcı James, "Şirketlerin müşterilerinin kişisel bilgilerini bilgisayar korsanlarından koruma yükümlülüğü vardır, ancak 23andMe zayıf güvenlik önlemleriyle milyonlarca müşterisini riske attı" dedi.
Bu uzlaşma, 7 Temmuz 2025'te bir ABD iflas hakimi tarafından onaylanan 46,75 milyon dolarlık ayrı bir tazminat anlaşmasına ek olarak geliyor. Ancak 10 Temmuz'da bir iflas hakimi, Kaliforniya'nın şirketten tazminat talep edemeyeceğine hükmetti. Kaliforniya Başsavcısı Rob Bonta'nın Mayıs 2025'te açtığı davanın 14 gün içinde değiştirilmesi veya parasal taleplerin çıkarılması gerekiyor.
Sistem Güvenliği
23andMe ayrıca Temmuz 2026'da İspanya gizlilik denetleme kurumu tarafından 2,4 milyon euro (2,75 milyon dolar) para cezasına çarptırıldı. İngiltere Bilgi Komiserliği Ofisi ise Haziran 2025'te şirkete özel kategori verilerini korumadığı için 2,3 milyon sterlin (3,1 milyon dolar) ceza kesti. Bu gelişmeler, genetik veri güvenliği konusunda küresel çapta artan denetimin bir parçası olarak değerlendiriliyor.
Kaynak: infosecurity-magazine.com