DNA testi devi 23andMe, 2023'te 6.4 milyon müşterinin kişisel bilgilerini ortaya çıkaran bir veri ihlali konusunda dava açması için 30 milyon dolar ödemeyi kabul etti.
Perşembe günü bir San Francisco federal mahkemesinde açılan ve yargı onayı bekleyen önerilen sınıf eylem anlaşması, etkilenen müşteriler için nihai onaydan sonraki on gün içinde dağıtılacak nakit ödemeler içeriyor.
Cuma günü yapılan bir muhtırada, "23andme yerleşimin adil, yeterli ve makul olduğuna inanıyor." Dedi.
23AndMe ayrıca, kimlik bilgisi-shuffing saldırılarına karşı koruma, tüm kullanıcılar için zorunlu iki faktörlü kimlik doğrulama ve yıllık siber güvenlik denetimleri de dahil olmak üzere güvenlik protokollerini güçlendirmeyi kabul etti.
Şirket ayrıca bir veri ihlali olayı müdahale planı oluşturmalı ve sürdürmeli ve aktif olmayan veya devre dışı bırakılmış hesaplar için kişisel verileri tutmayı bırakmalıdır. Yıllık eğitim oturumlarında tüm çalışanlara güncellenmiş bir bilgi güvenliği programı da sağlanacaktır.
Şirket, "Şikayette belirtilen iddiaları ve iddiaları reddediyor, tüketicilerinin ve kullanıcılarının kişisel bilgilerini düzgün bir şekilde koruyamadığını reddediyor ve yerleşim sınıfı temsilcilerinin yasal hasar iddialarının uygulanabilirliğini daha da reddediyor." Dosyalama ön uzlaşma.
"23andMe herhangi bir yanlış yapmayı reddeder ve bu Sözleşme hiçbir durumda, herhangi bir hata veya yükümlülük veya haksızlık veya hasar iddiasıyla ilgili olarak 23andme'nin kanıtı veya kabul veya imtiyaz olarak kabul edilmez veya kabul edilmez."
Bu yerleşim, genetik test şirketinin kullanıcıların gizliliğini koruyamadığı ve müşterilere bilgisayar korsanlarının kendilerini hedeflediklerini ve bilgilerinin karanlık web'de satışa sunulduğunu bildirmeyi ihmal ettiğini iddia ediyor.
Ekim 2023'te 23andMe, müşteri profillerine yetkisiz erişimin tehlikeye atılan hesaplarla gerçekleştiğini açıkladı. Bilgisayar korsanları, 23andMe hesaplarına erişmek için diğer ihlallerden çalınan kimlik bilgilerini kullandı.
İhlali keşfettikten sonra şirket, müşterilerin parolaları sıfırlamasını ve Kasım ayından itibaren varsayılan olarak iki faktörlü kimlik doğrulamasını sağlamak da dahil olmak üzere benzer olayları engellemek için önlemler uyguladı.
Ekim ayından itibaren, tehdit aktörleri, Birleşik Krallık'ta 4.1 milyon kişiye ve resmi olmayan 23andMe subreddit'te 1 milyon Aşkenazi Yahudisine ait veri profillerini sızdırdı ve Breachforums gibi forumları hackledi.
23andMe, Aralık ayında BleepingComputer'a 6.4 milyon ABD sakiniyle ilgili bilgiler de dahil olmak üzere 6.9 milyon müşteri için verilerin ihlalde indirildiğini söyledi.
Ocak ayında şirket ayrıca saldırganların Nisan-Eylül ayları arasında beş aylık bir kimlik bilgisi hilesi saldırısı üzerinden sağlık raporları ve ham genotip verilerini çaldığını doğruladı.
Veri ihlali, 23andMe'nin Kasım 2023'te müşteriler tarafından eleştirilen bir hareket olan kullanım koşullarını değiştirmesini sağlayan birden fazla sınıf davası davasına yol açtı. Şirket daha sonra değişikliklerin tahkim sürecini basitleştirmeyi amaçladığını açıkladı.
Verizon, Tracfone Veri ihlali anlaşmasında 16 milyon dolar ödeyecek
Ransomhub, Kawasaki Cyberattack'ın, çalınan verileri sızdırmaya tehdit ettiğini iddia ediyor
Fortinet, Hacker'ın 440GB dosya çaldığını iddia ettikten sonra veri ihlalini teyit ediyor
Londra For London, Cyberattack'ta Çalınan Müşteri Verilerini Onayladı
Araba kiralama devi Avis Veri ihlali 299.000'den fazla müşteri etkisi
Kaynak: Bleeping Computer