- 23andMe kullanıcı verilerinin sızdırıldığı ilk kez ortaya çıktıktan sadece 2 hafta sonra, aynı hacker 4 milyon kayıtlık yeni bir veri setini BreachForums'ta yayımladı
- Golem adlı hacker, yeni veri setinde Great Britain kökenli kullanıcıların yer aldığını ve ayrıca “ABD ile Batı Avrupa'da yaşayan en zengin insanların” bilgilerinin de bulunduğunu iddia etti
- TechCrunch, yeni sızdırılan verilerin bir kısmının daha önce açığa çıkan 23andMe kullanıcı ve genetik bilgileriyle eşleştiğini doğruladı
- 23andMe, yeni sızıntıdan haberdar olduktan sonra verilerin gerçekliğini inceliyor; daha önce de kullanıcılara şifre değiştirme ve çok faktörlü kimlik doğrulamayı etkinleştirme çağrısı yapmıştı
- Gerçek saldırı yöntemi, sızıntının toplam boyutu ve çalınan verilerin ne amaçla kullanılacağı hâlâ doğrulanmadığı için 23andMe kullanıcıları açısından ek risk sürüyor
BreachForums'ta yayımlanan ek veriler
- Golem adlı hacker, siber suç forumu BreachForums üzerinde 23andMe kullanıcı bilgilerine ait 4 milyon kayıt içeren yeni bir veri seti yayımladı
- Bu hacker, iki hafta önce de genetik test şirketi 23andMe'den çalınan kullanıcı verisi paketlerini sızdıran kişiyle aynı isim
- TechCrunch, yeni sızdırılan verilerin bir kısmının kamuya açılmış 23andMe kullanıcı ve genetik bilgileriyle eşleştiğini doğruladı
- Golem, söz konusu veri setinin Great Britain kökenli kişilere ait bilgileri içerdiğini iddia etti
- Listede ayrıca “ABD ile Batı Avrupa'da yaşayan en zengin insanların” verilerinin de bulunduğunu öne sürdü
- 23andMe sözcüsü Andy Kill, şirketin yeni sızıntıdan haberdar olduğunu ve verilerin gerçekten 23andMe verisi olup olmadığını incelediğini söyledi
23andMe'nin olay açıklaması ve hesap güvenliği önlemleri
- 23andMe, 6 Ekim'de hackerların bazı kullanıcı verilerini ele geçirdiğini duyurdu ve saldırganların credential stuffing kullandığını açıkladı
- Credential stuffing, başka veri sızıntılarında daha önce açığa çıkmış kullanıcı adı/e-posta ve şifre kombinasyonlarını deneme tekniğidir
- Olay müdahalesi kapsamında 23andMe, kullanıcılardan şifrelerini değiştirmelerini istedi ve çok faktörlü kimlik doğrulamayı etkinleştirmelerini önerdi
- Resmî olay müdahalesi sayfasına göre 23andMe, “üçüncü taraf adli bilişim uzmanlarının” yardımıyla soruşturma başlattı
- Şirket, olayın nedenleri olarak müşterilerin şifre yeniden kullanımını ve isteğe bağlı DNA Relatives özelliğini gösterdi
- DNA Relatives, genetik verileri eşleşen diğer gönüllü kullanıcıların verilerini görmeyi sağlayan bir özelliktir
- Bu özellik açıksa, hackerlar tek bir hesaba girip birçok kullanıcının verisini scraping yoluyla toplayabilir
Hâlâ yanıt bekleyen sorular
- Hackerların gerçekten credential stuffing kullanıp kullanmadığı ya da başka bir yöntem uygulayıp uygulamadığı belirsiz
- Çalınan kullanıcı verilerinin toplam miktarı henüz bilinmiyor
- Hackerların verileri nasıl kullanmayı planladığı da doğrulanmış değil
- Bu olay birkaç ay önce gerçekleşmiş ya da en azından o zaman başlamış olabilir
- 11 Ağustos'ta Hydra adlı başka bir siber suç forumunda bir hacker, 23andMe kullanıcı verisi seti sattığını duyurdu
- TechCrunch analizine göre bu veri seti, iki hafta önce sızdırılan kullanıcı kayıtlarının bir kısmıyla eşleşiyor
- Hydra'daki hacker, 23andMe kullanıcı verilerinden 300TB'a sahip olduğunu iddia etti ancak kanıt sunmadı
- Şu ana kadar veri sızıntısının tam kapsamı net değil ve 23andMe de ne kadar verinin çalındığını henüz belirleyebilmiş görünmüyor
1 yorum
Hacker News yorumları
23andMe'nin suçu müşterilerin parola yeniden kullanımına ve genetik olarak eşleşen diğer katılımcıların verilerini görmeyi sağlayan isteğe bağlı özellik DNA Relatives'a atması, asıl sorunu bulandıran bir söylem
DNA Relatives paylaşım seçeneklerinde yeterli ayrıntı yok; temelde yalnızca iki kadar seviye var ve bu yeterli değil
Ayrıca 23andMe, DNA Relatives'a katılan kişilere en yakın 1.500 kişiye kadarını gösterecek şekilde sınır koyuyor; bu yapıdaysa bir saldırgan yalnızca birkaç bin hesabı ele geçirerek veritabanının büyük bölümünden haplogrup, etnik köken tahmini, adlar, profiller, akraba listeleri ve coğrafi köken bilgilerini toplayabilirdi
Bu 1.500 kişi sınırı teoride yardımcı olur, ancak yakın zamanda bir süre boyunca bu aralığın ötesindeki profiller de görülebiliyordu ve bunun istismar yönteminin bir parçası olup olmadığı kesin değil
Tam gizlilik elde etmek için çıkmak gerekiyorsa bunun nasıl bir isteğe bağlı katılım özelliği olduğunu bilmiyorum
Burada tam gizliliğin ne anlama geldiği ve makul biçimde beklenebilecek gizlilikten nasıl farklı olduğu da belirsiz
Şirketin bu özelliğin isteğe bağlı katılım olduğu iddiasının mantıklı olmadığını düşünüyorum
Kullanıcı parolasını yeniden kullandıysa bu tek bir hesabın ele geçirilmesinin nedeni olabilir, ancak şirket olsaydı zararın büyümesini kolayca azaltabilirdi
Yalnızca ele geçirilmiş bir hesap kümesiyle milyonlarca kişinin verisi kazınamamalı
23andMe CEO'sunun da önümüzdeki 10 yıl boyunca Kongre'de sürükleneceğini merak ediyorum
23andMe'yi kullanmak hayatımdaki en büyük pişmanlıklardan biri. Gizliliği önemsemeye başlamadan önce Amazon'da indirime girdiğini görüp yapmıştım
Silme talep etsem bile verilerimi gerçekten sileceklerine dair hiçbir güvenim yok; silseler bile o verinin bir modelin ya da araştırmanın bir yerlerine çoktan girip yaşamaya devam edip etmediğini bilmiyorum
Verilerimin bu sızıntıya dahil olup olmadığını bilmek istemeyen bir yanım da var. Bu, kredi kartı ya da alışveriş verisi sızıntısından farklı hissettiriyor
Daha da kötüsü, 23andMe'ye uzun süredir girmemiş olmam ve muhtemelen düzgün bir parola güvenliğine dikkat etmeye başlamadan önce olması; bu yüzden şaşırtıcı değil
Facebook ve Google'ın insanları manipüle etmek için kullanabileceği çok daha doğru bir resme sahip; 23andMe ise merak unsurundan fazlası değil
Benim verilerim de muhtemelen bu sızıntının içindedir, ama buna pişman olmak için hayatımdan 1 saniye bile harcamayacağım
Toplu davadan bir şey alabilecek miyiz diye beklemek yeter. Experian hack'inde olduğu gibi postayla acınacak kadar küçük bir çek gelirse en azından sehpanın üstüne koyacak bir şeyim olur
Ancak takma adla kaydoldum, test kitini babama verdim ve bir halam/teyzem de test yaptırdı
Çok doğru değildi ama merakımı gidermeye yetti
Eninde sonunda her şey bir gün hack'lenir. Ünlü bir hacker'ın söylediği gibi, söylediğiniz ya da yazdığınız her şeyin bir gün kamuya açık bilgi olacağını varsaymalısınız
Ek olarak, “bunu babana nasıl yaparsın” diyecekler olabilir; ama onu tanısanız anlardınız. Neredeyse şebekeden bağımsız yaşıyor ve yakında vefat etmesi bekleniyor; halam/teyzem ise zaten vefat etti
Sızıntıdan etkilenenlerden biriyim. Teknik açıdan bilgiliyim, güvenliği de iyi bilirim ve her yerde benzersiz, güvenli parolalar kullanırım.
Bu şirket ve saçma sapan sorumluluk savuşturması gerçekten mide bulandırıcı.
Bu, kurumsal doxxingten farksız. Kullanıcıların yüzüne tüküren dev şirketlerdeki tek tek yöneticiler bu tür olaylardan kişisel olarak sorumlu tutulana kadar tekrarlanmaya devam edecek.
Çünkü o zamana kadar gerçekten umursama yükümlülükleri yok. Biz sadece para basma makinesine giren hammaddeden ibaretiz.
Beni sızıntının kendisinden çok hesap verilebilirliğin olmaması öfkelendiriyor.
Yorumlarda kurbanı suçlayan havayı görmek şoke edici.
Kişi başına 1.500 eşleşme olduğunu ve akrabaların çakışmadığını varsaysak bile, sızdırılan veri ölçeği olan yaklaşık 14 milyon kişiye ulaşmak için başarıyla ele geçirilmiş kabaca 10 bin hesaba ihtiyaç olur.
Gerçekte ise akrabaları çakışan çok kişi olduğundan, 10 binden çok daha fazla hesabın saldırıya uğramış olması ve bu süre boyunca 23andMe’nin hiçbir şüpheli durum fark etmemiş olması gerekirdi. Bu pek inandırıcı değil.
23andMe bu sızıntının temel nedeninin credential stuffing olduğunu iddia ediyor; ancak 2 ay önce Hydra Market’te ilk paylaşımı yapan hackerlar, 23andMe’nin akademik ve araştırma ortaklarına sağladığı API’yi basitçe kullandıklarını ya da kötüye kullandıklarını iddia etmişti.
Hackerlar ham veriler dahil 300 TB veriye sahip olduklarını öne sürdü, ancak saldırının kapsamının bu kadar büyük olduğuna dair henüz kanıt sunmadılar. Yine de bu iddia doğruysa, bu ihlal credential stuffing’den ziyade API kullanımı iddiasıyla çok daha iyi örtüşüyor.
Dolayısıyla saldırganın söylediği ölçek doğruysa, verilerin tamamının 23andMe’nin API’lerinden biriyle kazınmış olması credential stuffing’den çok daha olası. Ortak araştırmacılardan biri hacklenmiş olabilir ya da saldırganın tüm verileri yeniden kazımasına izin veren bir API erişim denetimi açığı olmuş, hatta hâlâ var olabilir.
23andMe’nin sunduğu API’ler hakkında çok bilgi yok, ancak RapidAPI’de bir tane buldum (https://rapidapi.com/23andme/api/23andme); bir erişim denetimi açığı ya da yetki yükseltmeli kullanıcı hack’i olsaydı, tek bir kişiyi başlangıç noktası yapıp çeşitli endpoint’lerden verileri indirebilir, akraba endpoint’i üzerinden tüm akrabaları özyinelemeli biçimde takip ederek herkesi bir kez indirebilirdi. Bireyin tüm genomuna yönelik bir endpoint bile var.
Şu aşamada 23andMe’nin savunma argümanına ciddi kuşkuyla yaklaşıyorum; ancak saldırgan ham verilere sahip olduğuna dair kanıt yayımlamadan, şirketin saldırının gerçek ölçeği konusunda yanıldığını ya da yalan söylediğini kanıtlamak zor. Yine de API kullanıldığı iddiası, 23andMe’nin sunduğu yöntemden çok daha mantıklı geliyor ve bu yüzden çok endişe verici.
Elbette gerçekten isterlerse, platformu kullanan akrabalar üzerinden beni izleyebilirler.
“23andMe müşterilerin parola yeniden kullanımını suçladı” deniyor; nasıl ifade ettiler bilmiyorum ama bu müşterinin değil, şirketin yetersizliği.
Müşteriler parolaları yeniden kullanır ve kullanmaya devam edecek. Hassas kişisel olarak tanımlanabilir bilgi söz konusuysa, müşteri davranışını değiştirmeye çalışmaktansa iki adımlı doğrulamayı ya da Google SSO’yu zorunlu kılmak çok daha kolaydır.
SMS’ten daha güvenli bir kimlik doğrulama uygulaması yöntemi, fakat kullanıcıların kabul etmesini sağlamada daha zahmetli olduğu için benimsenme oranını etkilemiş olabilir.
23andMe, farkına varmadan müşteri verilerinden 300 TB sızdırdıysa bu ihmal gibi görünüyor. Alarm olması gerekmez miydi?
Yine de 23andMe’nin müşteri depolamasında yeni coğrafi konumları gösteren tespit ya da kontrolleri olmalıydı. Çünkü her müşterinin hedef konumunu sahtelemeleri pek mümkün değil.
Ya da yönetici düzeyindeki bir hesapla verilere erişildiğinde bile denetim izi ve onay akışı olan bir yetkilendirme süreci bulunmalıydı.
Ödeme yapan müşterileri suçlayıp kendi sistem güvenliği başarısızlığını örtmeye çalışmaları şaşırtıcı.
Kullanıcıları kontrol edemezsiniz ama güvenlik duruşunuzu kontrol edebilirsiniz. 23andMe yönetiminin tutumu ve muhakemesi berbat.
23andMe’nin ürünü kullanıcının DNA’sı; sadece sindirmesi kolay bir biçimde güzelce paketlenmiş durumda.
Credential stuffing ile milyonlarca kaydın çalındığını tespit edemedilerse, bu da şirket için daha iyi bir mazeret değil.
Şirketlerin kendi davranışlarının sorumluluğunu üstlendiğini görmeden önce ölecekmişim gibi geliyor; bu yüzden şaşırtıcı da değil.
23andMe ben lisedeyken çıkmıştı ve fen bilgisi öğretmenlerimden biri, bir ders saatinin tamamını bu hizmeti neden asla kullanmamamız gerektiğini anlatmaya ayırmıştı.
Dürüst olmak gerekirse aldığım en değerli dersti; onun sayesinde yanına bile yaklaşmayı hiç düşünmedim.
Veri gizliliğinin okullarda zorunlu sağlık dersi gibi bir şeye eklenmesi gerektiğini düşünüyorum. Gerçi belirlenmiş müfredat muhtemelen lobicilikle mahvedilir ve gerçekten değerli şeyler öğretilmez.
DNA’da özel olan ne var?
İlgili son yazılar:
23andMe Sued over Hack of Genetic Data Affecting Thousands - https://news.ycombinator.com/item?id=37895586 - Ekim 2023, 20 yorum
Who hacked 23andMe for our DNA – and why? - https://news.ycombinator.com/item?id=37886543 - Ekim 2023, 3 yorum
23andMe Accounts Hijacked and Data Put Up for Sale on Hacker Forum - https://news.ycombinator.com/item?id=37810755 - Ekim 2023, 2 yorum
“Genetik test şirketlerinin topladığı bilgi türleri, şu anda ABD’nin sağlık bilgilerini koruma yasası olan HIPAA kapsamında korunmuyor.”
Görünüşe göre genetik test sektörü lobicileri işlerini iyi yapmış.
Ama DNA analiz edilerek ortaya çıkarılan veriler, örneğin genetik hastalık taşıyıp taşımadığınız gibi bilgiler, korunan sağlık bilgisi olmalı.
Tek bir saç telini işlediniz diye “korunan sağlık bilgisi değil” durumundan “artık korunan sağlık bilgisi” durumuna geçebilmesi tuhaf.
“Hangi noktadan itibaren korunan sağlık bilgisi olur?” yanıtlaması zor bir soru olurdu.
Kişisel olarak DNA ile ilgili verilerin korunması için HIPAA’dan farklı, ayrı bir çerçeve gerektiğini düşünüyorum.