23andMe, hackerların 6,9 milyon kullanıcının soy verilerini çaldığını doğruladı

 (techcrunch.com)
1 puan yazan GN⁺ 2023-12-06 | 1 yorum | WhatsApp'ta paylaş

23andMe hack olayı: 6,9 milyon kişinin soy verilerinin çalındığı doğrulandı

  • Genetik test şirketi 23andMe, hackerların müşterilerin kişisel verilerine eriştiğini ve yaklaşık 14 bin kişinin kişisel bilgileriyle birlikte diğer kullanıcıların soylarına ilişkin profil bilgilerinin yer aldığı çok sayıda dosyaya ulaştığını açıkladı.
  • Hackerlar, 23andMe'nin DNA Relatives özelliğine onay vermiş yaklaşık 5,5 milyon kişinin kişisel bilgilerine erişti; çalınan veriler arasında ad, doğum yılı, akrabalık ilişkisi etiketi, akrabalarla paylaşılan DNA yüzdesi, soy raporları ve kullanıcının kendi bildirdiği konum yer alıyor.
  • Ayrıca DNA Relatives özelliğine onay vermiş yaklaşık 1,4 milyon kullanıcının aile ağacı profil bilgilerine de erişildi; bunlar arasında görünen ad, akrabalık ilişkisi etiketi, doğum yılı, kullanıcının kendi bildirdiği konum ve bilgi paylaşım tercihi bulunuyor.

Hacker forumlarında veri sızıntısı ilanları

  • Ekim ayının başında bir hacker, tanınmış bir hack forumunda 23andMe kullanıcılarının DNA bilgilerini çaldığını iddia ederek 100 bin Çinli kullanıcı ile 1 milyon Aşkenaz Yahudisi soyundan gelen kişinin verisini yayımladı ve bireysel hesap verileri için 1 ila 10 dolar talep etti.
  • Daha sonra aynı hacker aynı forumda ek olarak 4 milyon kaydı daha ilan etti; TechCrunch ise başka bir hackerın çalınmış 23andMe müşteri verilerini iki ay önce ayrı bir hack forumunda zaten ilan ettiğini tespit etti.
  • TechCrunch'ın analiz ettiği, birkaç ay önce sızdırılan veriler; genetik bilgilerini hobi amaçlı çevrimiçi paylaşan kişilerin kayıtlarıyla eşleşen bölümler içeriyordu ve bu da hackerın sızdırdığı verilerin en azından bir kısmının gerçek 23andMe müşteri verisi olduğuna işaret ediyor.

Parola yeniden kullanımı nedeniyle veri ihlali

  • 23andMe, Ekim ayında yaptığı olay açıklamasında veri ihlalinin müşterilerin parolalarını yeniden kullanması nedeniyle gerçekleştiğini belirtti.
  • Hackerlar, başka şirketlerdeki veri ihlallerinde ortaya çıkan parolaları kullanarak kurbanların hesaplarını credential stuffing saldırılarıyla ele geçirebildi.
  • DNA Relatives özelliği kullanıcıları akrabalarıyla eşleştirdiği için, tek bir kişinin hesabının ele geçirilmesi yalnızca hesap sahibinin değil, akrabalarının kişisel verilerinin de görülebilmesine yol açtı ve mağdur sayısını artırdı.

GN⁺ görüşü

Bu haberdeki en önemli nokta, genetik test hizmeti 23andMe'nin büyük çaplı bir veri ihlali yaşaması. Olay, yaklaşık 6,9 milyon kullanıcının soy verilerinin hackerlar tarafından çalındığını ortaya koyuyor; bu da 23andMe müşterilerinin neredeyse yarısına denk geliyor. Veri ihlalinin nedeni parola yeniden kullanımıydı ve bu durum çevrimiçi güvenliğin önemini bir kez daha hatırlatıyor. Haberi ilginç kılan nokta, kişisel genetik bilginin ne kadar hassas bir veri olduğunu ve bu tür bilgilerin nasıl yanlış ellere geçebildiğini göstermesi. Bu olay, kişisel gizlilik ve siber güvenlik konusunda kamuoyundaki farkındalığı artırmak için bir fırsat olabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-06
Hacker News görüşleri

  • Kişisel verilerin gizliliğinin önemi

    • Bir akrabanın 23andMe gibi hizmetleri kullanarak genomik verilerini paylaşmasının, kişinin kendi bilgilerinin açığa çıkmasını da etkilediğine dikkat çekiliyor.
    • Davranış verisi toplamanın, ortak geçmişe sahip diğer insanları da etkileyebileceğinin anlaşılması umuluyor.

  • 23andMe kullanım koşulları güncellemesi sorunu

    • Şükran Günü'nde duyurulan kullanım koşulları güncellemesi; toplu dava yasağı, yasal işlem öncesinde 60 günlük gayriresmî süreç ve bağlayıcı tahkim şartı getiriyor.
    • Bunun, müşterilerin fiilen neredeyse hiçbir yasal hakkının kalmamasını sağlayacak şekilde 23andMe avukatlarınca hazırlanmış göründüğü belirtiliyor.

  • Kişisel verilerin gizliliğinin geleceğine dair soru işaretleri

    • Makine öğrenimi algoritmalarının insanları yalnızca yürüyüşlerinden tanıyabildiği ve klavye seslerinden metin çözebildiği bir yöne ilerlediği belirtiliyor.
    • Herkese açık veriler ve gelişmiş algoritmalarla, bugün makul sayılan gizliliği korumanın zorlaşacağı ifade ediliyor.

  • Hastanenin DNA analiz programına katılım talebi deneyimi

    • Bir hastanenin, daha önce toplanmış kan örneklerini kullanarak DNA analizi yapmayı teklif ettiği anlatılıyor.
    • Bunun, ABD'de gizlilik yasalarının fiilen yok denecek kadar zayıf olduğuna işaret ettiği; Avrupa'da ise onay olmadan örnek saklanamayacağı söyleniyor.

  • 23andMe veri sızıntısı şüphesi

    • 14.000 hesabın tek seferde ele geçirildiği ve hackerların DNA Relatives özelliği üzerinden 6,9 milyon kişinin kişisel bilgilerine eriştiği belirtiliyor.
    • Bunun, her hesabın ortalama 492 benzersiz akraba bilgisi içerdiği anlamına geldiği ifade ediliyor.

  • 23andMe hizmetini kullanmaya dair kişisel şüphecilik

    • Bazıları, hackerlardan çok devletin bu bilgileri nasıl kullanacağına dair kaygılar nedeniyle bu hizmeti hiç düşünmediğini söylüyor.

  • 23andMe ile ilgili son haber bağlantıları

    • 2023 Aralık ve Ekim aylarında yaşanan 23andMe kaynaklı veri sızıntısı ve hack olaylarına dair haber bağlantılarından söz ediliyor.

  • Credential stuffing üzerine tartışma

    • Web uygulaması geliştiricilerinin credential stuffing'e karşı koruma önlemleri alması gerektiği vurgulanıyor.
    • Troy Hunt'ın hash'lenmiş parola veritabanını kullanmanın iyi bir savunma olabileceği belirtiliyor.

  • Veri toplayan şirketlerin hacklenme ihtimali

    • Veri toplayan her şirketin eninde sonunda hackleneceği yönünde görüşler paylaşılıyor.

  • 23andMe kullanmayan kişilerin toplu dava açma ihtimali

    • Bir akrabanın 23andMe kullanmış olması durumunda, hizmeti kullanmayan kişilerin de gizlilik hakkı iddiasında bulunup bulunamayacağı soruluyor.