1 puan yazan GN⁺ 2023-12-06 | 1 yorum | WhatsApp'ta paylaş
  • İlk başta doğrudan ihlal edilen hesap sayısının yaklaşık 14.000 olduğu biliniyordu, ancak DNA Relatives bağlantı ağı üzerinden toplam etki 6,9 milyon kişiye çıktı
  • Yaklaşık 5,5 milyon opt-in kullanıcıda ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA yüzdesi, soy raporları ve kullanıcının kendi bildirdiği konum bilgisi açığa çıktı
  • Ayrı olarak yaklaşık 1,4 milyon kişinin Family Tree profil bilgilerine erişildi; buna görünen ad, ilişki etiketi, konum ve bilgi paylaşım tercihi gibi veriler dahildi
  • 23andMe, müşterilerin şifrelerini yeniden kullanması nedeniyle başka servislerden sızan parolalarla hesaplara erişimin mümkün hale geldiğini söyledi
  • Tek bir hesap ihlali bağlantılı akraba bilgilerinin de açığa çıkmasına yol açarken, etkilenen kişi sayısı 23andMe'nin bildirdiği toplam 14 milyon müşterinin yaklaşık yarısına ulaştı

23andMe veri ihlali 6,9 milyon kişiye ulaştı

  • 23andMe cuma günü, müşterilerinin %0,1'ine yani yaklaşık 14.000 kişinin kişisel verilerine hackerların eriştiğini açıkladı
  • Şirket o sırada, bu hesaplar üzerinden diğer kullanıcıların soy bilgilerini içeren “önemli sayıda” dosyaya da erişilebildiğini söylemişti, ancak etkilenen bu “diğer kullanıcıların” sayısını açıklamamıştı
  • Daha sonra 23andMe sözcüsü toplam mağdur sayısının 6,9 milyon olduğunu doğruladı
  • Bu sayı, 23andMe'nin bildirdiği toplam 14 milyon müşterinin yaklaşık yarısına denk geliyor

DNA Relatives ve Family Tree üzerinden açığa çıkan bilgiler

  • Yaklaşık 5,5 milyon kişi, 23andMe'nin DNA Relatives özelliğine opt-in olmuş kullanıcılardan oluşuyor
    • Bu özellik, müşterilerin bazı verileri diğer kullanıcılarla otomatik olarak paylaşmasına olanak tanıyor
    • Hackerların eriştiği veriler arasında ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA yüzdesi, soy raporları ve kullanıcının kendi bildirdiği konum yer alıyor
  • Yaklaşık 1,4 milyon başka DNA Relatives opt-in kullanıcısının ise Family Tree profil bilgilerine erişildi
    • Bunlar arasında görünen ad, ilişki etiketi, doğum yılı, kullanıcının kendi bildirdiği konum ve kullanıcının bilgi paylaşımını seçip seçmediği yer alıyor
  • DNA Relatives, kullanıcıları akrabalarıyla eşleştiren bir yapı olduğu için bir hesabın ele geçirilmesi yalnızca hesap sahibinin değil, bağlantılı akrabaların kişisel verilerinin de açığa çıkmasına neden olabiliyor
  • Bu bağlantılı yapı, doğrudan ihlal edilen hesap sayısından çok daha geniş bir etki alanı oluşturdu

Hacker forumlarındaki paylaşımlar ve verinin gerçekliğine dair ipuçları

  • Ekim başında bir hacker, tanınmış bir hacker forumunda 23andMe kullanıcılarının DNA bilgilerini çaldığını iddia etti
  • İhlalin kanıtı olarak, Aşkenaz Yahudisi kökenine sahip 1 milyon kullanıcıya ve 100.000 Çinli kullanıcıya ait olduğu öne sürülen verileri yayımladı
  • Aynı hacker, verileri hesap başına 1 ila 10 dolar arasında satmayı teklif etti
  • İki hafta sonra aynı kişi, aynı hacker forumunda ek olarak 4 milyon kayda ait olduğunu iddia ettiği verileri reklamını yaparak sundu
  • Ayrı bir hacker forumunda ise, geniş çapta bilinen bu ilandan iki ay önce 23andMe müşteri verisi olduğu öne sürülen bir paketin zaten tanıtıldığına dair işaretler de görüldü
  • Aylar önce sızdırılan veriler analiz edildiğinde, bazı kayıtların hobi araştırmacıları ve soybilim araştırmacılarının internette yayımladığı genetik verilerle eşleştiği görüldü
    • İki veri kümesinin formatı farklı olsa da bazı benzersiz kullanıcı verileri ve genel veriler ortaktı
    • Bu nedenle, hackerların sızdırdığı verilerin en azından bir kısmının gerçekten 23andMe müşteri verisi olma ihtimali bulunuyor

23andMe'nin açıkladığı ihlal nedeni

  • 23andMe, ekim ayında yaptığı ihlal açıklamasında nedeni müşterilerin şifrelerini yeniden kullanması olarak gösterdi
  • Hackerlar, diğer şirketlerdeki veri ihlallerinde açığa çıkan parolaları kullanarak mağdur hesaplara credential stuffing yöntemiyle erişebildi
  • Tek bir hesaba erişim, DNA Relatives bağlantı ağı üzerinden diğer kullanıcıların bilgilerine erişime dönüştüğü için ihlalin kapsamı büyük ölçüde genişledi

1 yorum

 
GN⁺ 2023-12-06
Hacker News yorumları
  • Bu olay, “Gizliliğe neden bu kadar takılıyorsun? Ben paylaşsam sana etkisi yok; istemiyorsan sen yapmazsın” sözlerine mükemmel bir karşı örnek
    Bir akraba 23andMe’ye genom bilgisini yüklediğinde, benim seçimimden bağımsız olarak benim hakkımda da bilgi açığa çıkıyor
    Umarım insanlar, aynı arka planı paylaşan kişilerin davranış verilerini toplama durumunda da bunun aynen geçerli olduğunu fark eder

    • Bu karşı argümana katılıyorum, ama insanların gerçekten böyle konuştuğundan pek emin değilim
      Daha yaygın söylenen şey sadece “Gizliliğe neden bu kadar takılıyorsun?” oluyor; çoğu kişi en başta gizliliğin neden önemli olduğunu anlamıyor
      Bu olay da gerçek zararı göstermeden diğer sızıntı olaylarından daha güçlü bir karşı çıkış olmakta zorlanır
      Bu kez soy verileri çalınan insanların başına fiilen ne geleceğini düşündüğünü merak ediyorum
    • Kişisel olarak Equifax sızıntısının daha iyi bir karşı örnek olduğunu düşünüyorum
      23andMe’de müşteri en azından hizmeti kullanıp kullanmayacağına karar verip artıları ve eksileri tartabiliyordu; Equifax’ta ise kredi başvurusundan iş başvurusuna kadar etkisi olan bir puanlama sistemine zorla dahil edildik ve üçüncü tarafların sattığı verileri içeri çekerek kişisel bilgilerimi tuttu
      Sızıntıdan sonra da etkili bir telafi sunulmadı; kimlik hırsızlığı olasılığı çok yüksek olmasına rağmen hatasını kabul etmek yerine yalnızca göstermelik bir “kredi izleme” hizmeti sağladı
      Sonuçta sorunu yaratan kredi derecelendirme kurumları, rıza olmadan bilgileri paylaşırken ve dağıtırken hiçbir sorumluluk üstlenmiyor
      Gizliliği hafife alan bu umursamazlık yüzünden başkalarını da daha kötü bir duruma sokan, cahilce ve kendi kendine zarar veren bir mantık olduğunu düşünüyorum
    • Gizliliği destekliyorum ve çoğu insandan daha fazla zahmete katlanıp paylaşmaktan kaçınan biriyim; yine de bireysel seçimin de önemli olduğunu düşünüyorum
      Başkasının kendi bilgilerini paylaşmasını, bazı bilgilerin benimkilerle örtüşmesi gerekçesiyle engelleyebilecek bir gizlilik modeli pek aklıma gelmiyor
    • Daha doğrusu, genom verilerinin çalındığı bildirilmiş değil
      Sızan şey daha çok soy ağacı ve akrabalıkla ilgili verilere benziyor
      Çalınan veriler arasında ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA oranı, soy raporu ve kişinin kendi bildirdiği konumun yer aldığı söyleniyor
    • Katılıyorum
      Benzer şekilde “Gelirin ne kadar?”, “Postalarını okuyabilir miyim?”, “Ev anahtarını alabilir miyim?” diye sorulabilir
      Soyut fikirlerde zorlanan insanlar var, ama bunu fiziksel dünyaya taşıyınca herkes rahatsızlığı hemen anlıyor
  • Şükran Günü’nde, herkesin gelen kutusunda kaybolması için tam uygun bir zamanda gönderilen hizmet şartları değişikliğiyle ne kadar bağlantılı olduğunu merak ediyorum
    Bu değişiklik toplu davaları yasaklamaya çalışıyor, hukuki işlem öncesi “gayriresmî” 60 günlük bir süreçten geçmeyi zorunlu kılıyor ve kişiyi bağlayıcı tahkime yönlendiriyor
    23andMe avukatlarının hazırladığı hükümlere göre, müşteri olarak pratikte neredeyse hiçbir hukuki hakkınız kalmıyor

    • Bu mahkemede geçerli olur mu?
      En azından Almanya’da, bir tarafın aşırı lehine olan sözleşmeler mahkemeye gidildiğinde geçersiz sayılır
    • Az önce e-posta güncellemesini aldım; yeni şartlarda reddetme seçeneği var gibi görünüyor
      Bunun sonucunun ne olacağını tam bilmiyorum
      “Yeni şartların tamamını okumanızı öneririz. Şartları kabul etmiyorsanız, bu e-postayı aldığınız tarihten itibaren 30 gün içinde bize bildirin. Bu durumda mevcut Hizmet Şartları uygulanmaya devam eder. 30 gün içinde bildirimde bulunmazsanız yeni şartları kabul etmiş sayılırsınız.”
      Bildirim e-postası: legal@23andme.com
    • 6,9 milyon kullanıcı tahkim süreci başlatırsa, 23andMe de aksine toplu davayı tercih edebilir
  • Bundan sonra pratik anlamda gizliliğin sürdürülebilir olduğunu düşünen biri var mı merak ediyorum
    Makine öğrenimi algoritmaları, yüz tanıma olmadan yalnızca yürüyüş biçiminden insanları tanımlamayı öğreniyor; klavye tuş seslerinden girilen metni çözme yönünde de ilerliyor
    Tüm açık verilerdeki genel ipuçları ve yeterince gelişmiş algoritmalar varken, aşırı önlemleri eksiksiz uygulamadan bugün makul saydığımız gizliliği korumanın bir yolu var mı?
    Bir değer yargısı yapmaya çalışmıyorum; sadece süren eğilim bana böyle görünüyor

    • Muhtemelen zor olacak, ama bu gelecekte gizliliğin nasıl görünmesi gerektiğini tartışmaktan vazgeçmek için bir neden değil
      Hiçbir şey yapmazsak onlar kazanır; ama bunu açıkça tartışırsak en azından güvenlik önlemleri oluşturma ihtimali var
      Tabii dürüst olmak gerekirse her şey mahvoldu ve EvilCorp kazanacak; belki de savaşmaya enerji harcayıp kendi kendimizi delirtmekten başka bir şey yapmıyoruz
      Direniş anlamsızdır
    • Yaklaşık 10 yıl önce, yüz yerine kulak şekli, yürüyüş ve bedensel özelliklerle insanları tanıyan bilgisayarlı görü algoritmaları üzerine çalışan kişiler tanıyordum
      Çünkü Fortinet gibi şirketler, apartman ya da site girişlerine kamera koyup geçen insanları tarayıp analiz eden “otomatik kapıcılar” yapmak istiyordu
      İlgililerin hiçbirinde neredeyse hiç etik bilinç görmedim
      Gereken şey, unutulma hakkını açıkça kanunlaştıran güçlü bir mevzuat
      Tanımlamanın otomatikleştirilmesinin özünde yanlış olduğunu düşünmüyorum; ama şirketlerin rıza olmadan mümkün olan her insanı tanımlamaya çalışmasını son derece yanlış buluyorum
    • Bir bakıma Birleşik Krallık hükümeti onlarca yıl önce gizliliği koruyan yürüyüş biçimini araştırıyormuş: https://youtu.be/eCLp7zodUiI
    • Katılıyorum, ancak gizlilik aynı zamanda insanların gerçekte endişe ettiği şeylerin üzerine konmuş bir soyutlama
      “Bu bilgiyi neden saklamak istiyorsun?” sorusunun cevabı sonunda “[bir kişi ya da grup], [özel verileri] kullanarak benim için [kötü bir sonuç] yaratabilir” korkusuna varıyor
      İnsanların asıl önemsediği şey verinin kendisi değil, kötü sonuç riskidir
      Bu eğilim doğruysa, odak bu tür kötü sonuçları yaratabilecek toplumsal işlemlerdeki asimetrik güç dengesizliklerini engellemek olmalı
    • Kişisel olarak bunun sürdürülebilir olduğunu düşünmüyorum
      Eskiden gizli belgelerin sızabileceğini düşünmek bile beni çıldırtacak gibi olurdu; ama kişisel verilerin ne kadar berbat işlendiğini görünce bunun neredeyse garanti olduğunu fark ettim
      Gizlilik yasalarının nispeten iyi olduğu Avustralya’da bile Optus’taki büyük sızıntıyla nüfusun yaklaşık yarısının kredi kartı bilgileri çalındı, Medibank saldırısıyla da özel sağlık sigortası müşterilerinin önemli bir kısmının bilgileri ele geçirildi
      Konut kredisine başvururken, mahalledeki küçük mortgage aracılarına bile her yıl yüzlerce ila binlerce hassas kimlik belgesinin e-postayla geldiğini ve işlem bittikten sonra bunları silmediklerini öğrendim
      Avustralya’daki birçok şirket kimliği yalnızca ad, adres ve doğum tarihiyle doğruluyor; bunları da genelde 5 dakikalık bir aramayla kolayca bulabiliyorsunuz
      Telstra hesabıma yıllarca yönetim değişikliklerini engellemesi gereken bir PIN ayarlamıştım; ama bir gün aradığımda şifreyi bile sormadan işlemi yaptılar
      Gizliliğe saygı duyulacaksa, dolandırıcılık sorumluluğunu gerçek mağdur olan şirkete yüklemekten başka yol olmadığını düşünüyorum
      “Kimliğim çalındı” şeklindeki eski şaka da aslında kimliğin çalınması değil; şirketin doğrulama süreci başarısız olduğu halde kayıp sorumluluğundan kaçmak için suçu başkasına atması
      Bu yüzden artık yalnızca kredi kartı kullanıyorum
      Yetkisiz kullanım olursa chargeback yapabiliyorum ve bu, paramıza yetkisiz erişimi fiilen engelleyebilen neredeyse tek mekanizma olduğu için
  • Son zamanlarda epey ürpertici bir şey yaşadım
    Birkaç ay önce gittiğim hastaneden arayıp bir DNA analiz programına katılmamı istediler
    “En iyi tarafı, hiçbir şey yapmanıza gerek olmaması. Geçen sefer aldığımız kan örneğini kullanabiliriz” dediler
    Elbette reddettim; ama bana haber bile vermeden benimle bağlantılı biyolojik bir örneği saklamış olmaları ve sonradan DNA analizi bile yapabilecek olmaları akıl almazdı
    Bu, ABD’de gizlilik yasalarının fiilen var olmadığına dair bir kanıt gibi geldi
    AB’de rıza olmadan örnekleri dondurup saklayamazsınız; dondurulmamış örneklere de yalnızca birkaç gün kadar izin verilir

    • İsveç’te 1975’ten beri İsveç’te doğan herkesin kan örneğini içeren bir kayıt var: https://sv.wikipedia.org/wiki/PKU-registret
      Vikipedi maddesi yalnızca İsveççe
      Tahmin edilebileceği üzere, ya da ilginç biçimde, polis bu verilere erişemiyordu; ancak 2003’te bir hükümet bakanı öldürüldükten sonra bir şüphelinin örneğini elde etti
      Bildiğim kadarıyla sonrasında kullanılmadı
      Alaycı bakılabilir, ama şu ana kadar polisin bu kaydı kullanması yerleşik bir uygulamaya dönüşmedi ve mahkemeler tarafından kontrol ediliyor
    • Yine de hastane sizi arayıp kullanmak için izin almaya çalışmış; yasaya uyduysa örneği gerçekten kullanmamıştır
      O halde bir gizlilik yasası var sayılmaz mı?
      Eski sonuçları ya da örnekleri düzenleme sürecinin bir adımı da olmuş olabilir
  • Bir şeyler tutarsız geliyor
    “23andMe, veri sızıntısının müşterilerin parola yeniden kullanımı nedeniyle gerçekleştiğini söyledi” deniyor; ama tek seferde 14 bin hesap ele geçirildiyse o parolalar nereden çıktı?
    LastPass gibi bağlantılı başka bir sızıntı mı vardı?
    Ayrıca hacker’lar “DNA Relatives” özelliğiyle 6,9 milyon kişinin kişisel bilgilerine eriştiyse, başlangıçta ele geçirilen 14 bin hesabın her birinde yaklaşık 492 benzersiz akraba var demektir
    Ben neyi kaçırıyorum?

    • 14 bin hesabın ele geçirilmesi kendi başına, farklı hesaplarla sürekli oturum açma denemelerini sınırlayamama ya da tespit edememe gibi teknik sorunlar dışında çok şaşırtıcı değil
      Saldırganlar veriyi büyük ölçekli dağıtık bir ağla kazımış olabilir, ama en başta tespit ya da koruma olmaması daha olası
      Ancak hesabımdaki akraba sayısını kontrol etmek için giriş yaptığımda 23andMe, parola yeniden kullanımını gerekçe göstererek girişimi engelledi ve sıfırlama istedi
      Bu hesapta her zaman çok güçlü bir parola kullandım, hiçbir yerde yeniden kullanmadım ve iki faktörlü kimlik doğrulama da açıktı
      Şirket de nedenin yeniden kullanılmış parola olduğu açıklamasından tamamen rahat görünmüyor
      Hiç yeniden kullanmadığım parolayı sıfırladıktan sonra baktığımda DNA akrabaları panelinde 60 sayfa vardı; her sayfada 25 kişi gösteriliyordu, yani toplam 1500 akraba alınabiliyordu
      Bunu rastgele 14 bin hesaptan kazırsanız oldukça büyük bir ağ oluşturabilirsiniz
    • Hiç şaşırtıcı değil
      Geçmişteki birçok parola sızıntısını bir araya getiren büyük listeler açıkça bulunabiliyor ve yalnızca saldırganlar değil herkes için erişmesi kolay
      14 milyondan fazla kullanıcı içinde %0,1’e denk gelen 14 bin kişinin başka yerde sızmış parolaları yeniden kullanmış olması gayet makul
      Troy Hunt’ın çalışmasıyla ilgili dünkü HN tartışmasında olduğu gibi, bu tür parolaları açıkça tespit edip geçersiz kılmıyorsanız durum daha da böyle
    • Parola yeniden kullanımından kaynaklanan bir sızıntıysa, kullanıcı adı ve parola çiftlerinin başka bir yerden sızmış olması gerekir
      Kullanıcı adı ve parolalar 23andMe’den sızdıysa bu yeniden kullanım sorunu değil, sadece 23andMe’nin kimlik bilgileri listesini bulup kırmaktır
      Başka web sitesi sızıntı listelerinde ya da birden fazla site sızıntısının birleştirilmiş listelerinde 14 bin 23andMe kullanıcısının çakışması hiç şaşırtıcı değil
    • Benim 23andMe durumum DNA akrabası sayısı ve akrabaların hack’lenmeye açıklığı açısından ortalamaya yakınsa bu makul
      Arayınca 23andMe’nin 14 milyon müşterisi olduğu görülüyor; 14 bin hesabın sızması, 1000 hesaptan 1’inin ele geçirilmesi demek
      Benim DNA akrabaları listemde 1500’den biraz fazla kişi çıkıyor
      Her hesabın 1/1000 olasılıkla hack’lendiğini varsayarsak, akrabalarımdan hiçbirinin hack’lenmemiş olma olasılığı (1-1/1000)^1500 = 0.223
      En az bir akrabanın hack’lenmiş olma olasılığı 0.777 oluyor
      Benim ortalama olduğumu varsayarsak, hack’lenmiş bir hesabı akrabası olarak barındıran kişi sayısının yaklaşık 10,8 milyon olması beklenir; bu da 6,9 milyon rakamına yeterince yakın görünüyor
  • 23andMe’yi ciddi ciddi kullanmayı hiç düşünmedim
    Hacker’lar yüzünden değil, devletin o bilgiyi nasıl kullanacağı yüzünden
    Sırf soy ağacımı merak ettiğim için rastgele bir akrabanın suç şüphesi altına girmesinden sorumlu olmak istemem

    • 23andMe sayesinde babamın gerçek biyolojik babam olmadığını, bir üvey kız kardeşim ve varlığından bile haberdar olmadığım büyük bir akraba grubum olduğunu öğrendim
      Mahremiyet ve kişisel tanımlayıcı bilgi kaygılarının tamamen farkındayım, ama benim için kim olduğumu daha iyi anlamak ve beni çok sıcak karşılayan akrabaları bulmak açısından kesinlikle değerliydi
      Sonuçta bu bir ödünleşim
    • 23andMe bilgilerimi gerçekten merak ediyorum, ama bir gün hack’leneceğini ya da kullanıcılarını hızlı para kazanmak için satacak güvenilmez bir kuruluşa devredileceğini düşündüm
      Testi yapıp sonuçları gönderdikten sonra şirket tarafındaki test verileri ve bilgiler yok edilse ya da verinin evden çıkmadığı bir evde test mümkün olsa yaptırırım
      Şirketlerin bu veriyi neden saklamaya devam ettiğini anlamakta zorlanıyorum
      Muazzam bir sorumluluk yükü
      Bu durumda akrabalık ilişkilerini belirleme özelliği yüzünden olabilir, ama o özelliğin bu riski almaya değip değmediği tartışılır
    • Bu tür veritabanları kullanılarak cinayet ya da tecavüz dışında suçlamalar getirilen bir durum oldu mu?
      Bu teknolojiyle çözüldüğünü gördüğüm vakalar, yaptığım şey gerçekten kötü işler yapan birini durdurmaya yardımcı olduysa memnuniyetle iyi ki derdim türdendi
    • Tek endişen buysa Naziler hakkında daha fazla okumalısın
      Genetik bilgi veritabanlarını ele geçirselerdi ne yapacaklarını hayal etmen yeterli
  • Tesadüfen dün başka bir başlıkta adameasterling’in credential stuffing saldırıları hakkında yazdığı mükemmel bir yorumu okudum [1]
    “Troy Hunt gerçekten paha biçilmez biri. Bir web uygulaması geliştiricisiyseniz credential stuffing saldırılarına karşı koruma sağlamamak için bahaneniz yok. En iyi savunma muhtemelen iki faktörlü kimlik doğrulama, ama Hunt’ın hash’lenmiş parola veritabanıyla karşılaştırmak da çok iyi ve kullanıcıdan ek işlem istemiyor” diyordu
    O yorum 60 gün önceki bir yazıda olmasına rağmen 23andMe’yi [2] örnek göstermişti ve bu olay TechCrunch makalesinde de anılıyor
    [1] https://news.ycombinator.com/item?id=38521106
    [2] https://news.ycombinator.com/item?id=37794379

  • Bu noktada veri toplayan bir şirketin eninde sonunda hack’leneceği hissine kapılıyorum
    Mesele “olacak mı” değil, ne zaman olacak meselesi

    • Çok iyi bir gerekçe yoksa sitelerin ve uygulamaların e-posta adresinden fazlasını toplamasını engelleyecek cezalar yeterince ağır olmalı
      Pazarlama materyali göndermek istemek iyi bir gerekçe değil
    • Devlet veriyi almak ya da değiştirmek isterse hack’lenmesine bile gerek yok
    • Kendini korumanın zor olmasından değil
      Güvenliğe yatırım yapmak genellikle iş önceliği olmadığı için
      Bu, yalnızca yönetim için değil, yaptırım ve teşviklerle uygulayıcılar için de böyle işliyor
      Bu büyük hack’lerin çoğu, iyi niyetli sıradan denetimlerle bile yakalanabilecek, iyi bilinen tehditlerden kaynaklanıyor
  • “Neyse ki artık genom izleme hizmeti sunuyoruz. Ayda yalnızca $79.99 karşılığında, biri genetik kayıtlarınıza erişmeye her çalıştığında bildirim alabilirsiniz!” — 23andMe

  • “Saklayacak bir şeyin yoksa korkacak neyin var?”
    Ben, güçlü konumlarda bulunan aptal insanlardan korkuyorum
    Suç çözme yöntemi olarak DNA eşleştirme zaten başından beri çok sorunluydu
    “DNA kanıtı, pek çok kişinin inandığı kadar güvenilir değildir”
    https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
    “DNA testinin sahte vaadi”
    https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
    “Adli DNA kanıtı nasıl hatalı mahkûmiyetlere yol açabilir”
    [https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convic…](https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/