Genetik test sağlayıcısı 23andMe, milyonlarca müşterisini etkilediğine inanılan büyük ölçekli bir veri ihlali sonrasında ABD'de çok sayıda eylem davasıyla karşı karşıya.
Geçen ayın sonlarında, bir tehdit oyuncusu, hacker forumlarında 'ASHkenazi DNA verileri' adlı bir CSV dosyasında 23andMe müşteri verilerini sızdırdı.
Dosyanın, atalarını, genetik yatkınlıklarını ve daha fazlasını bulmak için 23andMe hizmetlerini kullanan yaklaşık 1 milyon Aşkenazi Yahudisinin verilerini içerdiği iddia ediliyor.
CSV dosyasındaki veriler, 23andMe kullanıcılarının hesap kimlikleri, tam adları, cinsiyet, doğum tarihi, DNA profilleri, konum ve bölge detayları hakkında bilgi içeriyordu.
Geçen hafta, orijinal hacker gönderiyi geri çekmeye karar verdi ve bunun yerine çalınan 23andMe verilerinin veri profillerini satmaya başladı. Bununla birlikte, diğer tehdit aktörleri, siber suç toplulukları ve forumları boyunca orijinal 23andMe sızıntısını paylaşmaya devam ettiler.
Bir soruşturmaya yanıt olarak, 23andMe, BleepingComputer'a, bilgisayar korsanlarının zayıf güvenli hesaplara yönelik kimlik bilgileri saldırıları yoluyla platformuna eriştiğini söyledi. Ancak, sistemlerinin doğrudan güvenlik ihlali iddialarını reddettiler.
23andMe sözcüsü, saldırganların başlangıçta az sayıda hesaba yetkisiz erişim elde ettiklerini, ancak sonunda genetik akrabaları bağlayan isteğe bağlı bir özelliği etkinleştirmesi nedeniyle daha büyük ama tanımlanmamış sayıda müşterinin verilerini ortaya çıkardığını açıkladı.
Raporumuzun yayınlanmasından sonra, 23andMe, sitesinde etkilenen müşterileri bireysel olarak bilgilendirmeyi ve üçüncü taraf uzmanların ve kolluk kuvvetlerinin yardımıyla yürütülen soruşturmanın sonuçları hakkında güncel tutmayı vaat eden bir duyuru yayınladı.
Platform üyeleri, katılım özelliğini gönüllü olarak etkinleştirse de, hepsi dahil iç veri paylaşım riskinin firmayı koruma katmanlarını yerleştirme sorumluluğundan muaf tutması gerektiğini kabul etmiyor.
Bu durumda, hesaplarında 2FA etkinleştirerek ve güçlü ve benzersiz bir şifre kullanan uygun güvenlik uygulamalarını takip eden birçok kişi hala kendilerini maruz bıraktı ve hassas verileri siber suç forumlarında sızdı.
Kaliforniya'da (Santana, Eden, Andrizzi, Lamons) en az dört sınıf eylem şikayeti 23andme'nin verilerini korumaması nedeniyle verilen hasar için rahatlama arayışında sunuldu.
Davalar, şirketin güvenlik etkinliği, müşteri veri güvenliğinin mevcut durumu, ağ ihlali süresi ve siber saldırının kesin mekanizması ile ilgili resmi açıklamasında bilgi eksikliğini vurgulamaktadır.
Ayrıca, 23andMe'yi anormal aktivite ağını izlemeye ve izinsiz girişi çok daha erken durdurmak için harekete geçmeye yardımcı olacak yeterli güvenlik önlemleri uygulamadığı için eleştiriyorlar.
Yasal eylemler, hassas tıbbi verileri yöneten bir şirket olan 23andMe'nin, sektördeki çok sayıda yüksek profilli ihlal göz önüne alındığında, bu tür verilerin yüksek değerinin altını çizerek yüksek siber güvenlik tehditlerinin farkında olması gerektiğini vurgulamaktadır.
Davacılar, iade, ömür boyu kredi izleme, fiili, telafi edici ve yasal zararlar ve cezalar, cezai zararlar ve avukat ücretlerinin kapsamı dahil olmak üzere 23andme'ye karşı çeşitli mali yardımlar ister.
Şikayetlerden biri, diğer çeşitli yardım taleplerine ek olarak, nominal hasarları 1.000 $ 'a ve sınıf davası davası başına 3.000 $' a cezalandırıcı zararları tanımlamaktadır.
Genetik firması 23andMe, kimlik bilgisi doldurma saldırısında çalınan kullanıcı verilerinin
Hacker oyuncuların bilgilerini satmaya çalışırken Shadow PC veri ihlalini uyarıyor
D.C. Seçim Kurulu, Sitede Çalınan Seçmen Verilerinin Sunulan Hack
MGM Resorts Fidye yazılımı saldırısı 100 milyon dolarlık kayıp, veri hırsızlığına yol açtı
Sony, ABD'deki binlerce kişiyi etkileyen veri ihlalini doğrular
Kaynak: Bleeping Computer