- İlk başta doğrudan ihlal edilen hesap sayısının yaklaşık 14.000 olduğu biliniyordu, ancak DNA Relatives bağlantı ağı üzerinden toplam etki 6,9 milyon kişiye çıktı
- Yaklaşık 5,5 milyon opt-in kullanıcıda ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA yüzdesi, soy raporları ve kullanıcının kendi bildirdiği konum bilgisi açığa çıktı
- Ayrı olarak yaklaşık 1,4 milyon kişinin Family Tree profil bilgilerine erişildi; buna görünen ad, ilişki etiketi, konum ve bilgi paylaşım tercihi gibi veriler dahildi
- 23andMe, müşterilerin şifrelerini yeniden kullanması nedeniyle başka servislerden sızan parolalarla hesaplara erişimin mümkün hale geldiğini söyledi
- Tek bir hesap ihlali bağlantılı akraba bilgilerinin de açığa çıkmasına yol açarken, etkilenen kişi sayısı 23andMe'nin bildirdiği toplam 14 milyon müşterinin yaklaşık yarısına ulaştı
23andMe veri ihlali 6,9 milyon kişiye ulaştı
- 23andMe cuma günü, müşterilerinin %0,1'ine yani yaklaşık 14.000 kişinin kişisel verilerine hackerların eriştiğini açıkladı
- Şirket o sırada, bu hesaplar üzerinden diğer kullanıcıların soy bilgilerini içeren “önemli sayıda” dosyaya da erişilebildiğini söylemişti, ancak etkilenen bu “diğer kullanıcıların” sayısını açıklamamıştı
- Daha sonra 23andMe sözcüsü toplam mağdur sayısının 6,9 milyon olduğunu doğruladı
- Bu sayı, 23andMe'nin bildirdiği toplam 14 milyon müşterinin yaklaşık yarısına denk geliyor
DNA Relatives ve Family Tree üzerinden açığa çıkan bilgiler
- Yaklaşık 5,5 milyon kişi, 23andMe'nin DNA Relatives özelliğine opt-in olmuş kullanıcılardan oluşuyor
- Bu özellik, müşterilerin bazı verileri diğer kullanıcılarla otomatik olarak paylaşmasına olanak tanıyor
- Hackerların eriştiği veriler arasında ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA yüzdesi, soy raporları ve kullanıcının kendi bildirdiği konum yer alıyor
- Yaklaşık 1,4 milyon başka DNA Relatives opt-in kullanıcısının ise Family Tree profil bilgilerine erişildi
- Bunlar arasında görünen ad, ilişki etiketi, doğum yılı, kullanıcının kendi bildirdiği konum ve kullanıcının bilgi paylaşımını seçip seçmediği yer alıyor
- DNA Relatives, kullanıcıları akrabalarıyla eşleştiren bir yapı olduğu için bir hesabın ele geçirilmesi yalnızca hesap sahibinin değil, bağlantılı akrabaların kişisel verilerinin de açığa çıkmasına neden olabiliyor
- Bu bağlantılı yapı, doğrudan ihlal edilen hesap sayısından çok daha geniş bir etki alanı oluşturdu
Hacker forumlarındaki paylaşımlar ve verinin gerçekliğine dair ipuçları
- Ekim başında bir hacker, tanınmış bir hacker forumunda 23andMe kullanıcılarının DNA bilgilerini çaldığını iddia etti
- İhlalin kanıtı olarak, Aşkenaz Yahudisi kökenine sahip 1 milyon kullanıcıya ve 100.000 Çinli kullanıcıya ait olduğu öne sürülen verileri yayımladı
- Aynı hacker, verileri hesap başına 1 ila 10 dolar arasında satmayı teklif etti
- İki hafta sonra aynı kişi, aynı hacker forumunda ek olarak 4 milyon kayda ait olduğunu iddia ettiği verileri reklamını yaparak sundu
- Ayrı bir hacker forumunda ise, geniş çapta bilinen bu ilandan iki ay önce 23andMe müşteri verisi olduğu öne sürülen bir paketin zaten tanıtıldığına dair işaretler de görüldü
- Aylar önce sızdırılan veriler analiz edildiğinde, bazı kayıtların hobi araştırmacıları ve soybilim araştırmacılarının internette yayımladığı genetik verilerle eşleştiği görüldü
- İki veri kümesinin formatı farklı olsa da bazı benzersiz kullanıcı verileri ve genel veriler ortaktı
- Bu nedenle, hackerların sızdırdığı verilerin en azından bir kısmının gerçekten 23andMe müşteri verisi olma ihtimali bulunuyor
23andMe'nin açıkladığı ihlal nedeni
- 23andMe, ekim ayında yaptığı ihlal açıklamasında nedeni müşterilerin şifrelerini yeniden kullanması olarak gösterdi
- Hackerlar, diğer şirketlerdeki veri ihlallerinde açığa çıkan parolaları kullanarak mağdur hesaplara credential stuffing yöntemiyle erişebildi
- Tek bir hesaba erişim, DNA Relatives bağlantı ağı üzerinden diğer kullanıcıların bilgilerine erişime dönüştüğü için ihlalin kapsamı büyük ölçüde genişledi
1 yorum
Hacker News yorumları
Bu olay, “Gizliliğe neden bu kadar takılıyorsun? Ben paylaşsam sana etkisi yok; istemiyorsan sen yapmazsın” sözlerine mükemmel bir karşı örnek
Bir akraba 23andMe’ye genom bilgisini yüklediğinde, benim seçimimden bağımsız olarak benim hakkımda da bilgi açığa çıkıyor
Umarım insanlar, aynı arka planı paylaşan kişilerin davranış verilerini toplama durumunda da bunun aynen geçerli olduğunu fark eder
Daha yaygın söylenen şey sadece “Gizliliğe neden bu kadar takılıyorsun?” oluyor; çoğu kişi en başta gizliliğin neden önemli olduğunu anlamıyor
Bu olay da gerçek zararı göstermeden diğer sızıntı olaylarından daha güçlü bir karşı çıkış olmakta zorlanır
Bu kez soy verileri çalınan insanların başına fiilen ne geleceğini düşündüğünü merak ediyorum
23andMe’de müşteri en azından hizmeti kullanıp kullanmayacağına karar verip artıları ve eksileri tartabiliyordu; Equifax’ta ise kredi başvurusundan iş başvurusuna kadar etkisi olan bir puanlama sistemine zorla dahil edildik ve üçüncü tarafların sattığı verileri içeri çekerek kişisel bilgilerimi tuttu
Sızıntıdan sonra da etkili bir telafi sunulmadı; kimlik hırsızlığı olasılığı çok yüksek olmasına rağmen hatasını kabul etmek yerine yalnızca göstermelik bir “kredi izleme” hizmeti sağladı
Sonuçta sorunu yaratan kredi derecelendirme kurumları, rıza olmadan bilgileri paylaşırken ve dağıtırken hiçbir sorumluluk üstlenmiyor
Gizliliği hafife alan bu umursamazlık yüzünden başkalarını da daha kötü bir duruma sokan, cahilce ve kendi kendine zarar veren bir mantık olduğunu düşünüyorum
Başkasının kendi bilgilerini paylaşmasını, bazı bilgilerin benimkilerle örtüşmesi gerekçesiyle engelleyebilecek bir gizlilik modeli pek aklıma gelmiyor
Sızan şey daha çok soy ağacı ve akrabalıkla ilgili verilere benziyor
Çalınan veriler arasında ad, doğum yılı, ilişki etiketi, akrabalarla paylaşılan DNA oranı, soy raporu ve kişinin kendi bildirdiği konumun yer aldığı söyleniyor
Benzer şekilde “Gelirin ne kadar?”, “Postalarını okuyabilir miyim?”, “Ev anahtarını alabilir miyim?” diye sorulabilir
Soyut fikirlerde zorlanan insanlar var, ama bunu fiziksel dünyaya taşıyınca herkes rahatsızlığı hemen anlıyor
Şükran Günü’nde, herkesin gelen kutusunda kaybolması için tam uygun bir zamanda gönderilen hizmet şartları değişikliğiyle ne kadar bağlantılı olduğunu merak ediyorum
Bu değişiklik toplu davaları yasaklamaya çalışıyor, hukuki işlem öncesi “gayriresmî” 60 günlük bir süreçten geçmeyi zorunlu kılıyor ve kişiyi bağlayıcı tahkime yönlendiriyor
23andMe avukatlarının hazırladığı hükümlere göre, müşteri olarak pratikte neredeyse hiçbir hukuki hakkınız kalmıyor
En azından Almanya’da, bir tarafın aşırı lehine olan sözleşmeler mahkemeye gidildiğinde geçersiz sayılır
Bunun sonucunun ne olacağını tam bilmiyorum
“Yeni şartların tamamını okumanızı öneririz. Şartları kabul etmiyorsanız, bu e-postayı aldığınız tarihten itibaren 30 gün içinde bize bildirin. Bu durumda mevcut Hizmet Şartları uygulanmaya devam eder. 30 gün içinde bildirimde bulunmazsanız yeni şartları kabul etmiş sayılırsınız.”
Bildirim e-postası: legal@23andme.com
Bundan sonra pratik anlamda gizliliğin sürdürülebilir olduğunu düşünen biri var mı merak ediyorum
Makine öğrenimi algoritmaları, yüz tanıma olmadan yalnızca yürüyüş biçiminden insanları tanımlamayı öğreniyor; klavye tuş seslerinden girilen metni çözme yönünde de ilerliyor
Tüm açık verilerdeki genel ipuçları ve yeterince gelişmiş algoritmalar varken, aşırı önlemleri eksiksiz uygulamadan bugün makul saydığımız gizliliği korumanın bir yolu var mı?
Bir değer yargısı yapmaya çalışmıyorum; sadece süren eğilim bana böyle görünüyor
Hiçbir şey yapmazsak onlar kazanır; ama bunu açıkça tartışırsak en azından güvenlik önlemleri oluşturma ihtimali var
Tabii dürüst olmak gerekirse her şey mahvoldu ve EvilCorp kazanacak; belki de savaşmaya enerji harcayıp kendi kendimizi delirtmekten başka bir şey yapmıyoruz
Direniş anlamsızdır
Çünkü Fortinet gibi şirketler, apartman ya da site girişlerine kamera koyup geçen insanları tarayıp analiz eden “otomatik kapıcılar” yapmak istiyordu
İlgililerin hiçbirinde neredeyse hiç etik bilinç görmedim
Gereken şey, unutulma hakkını açıkça kanunlaştıran güçlü bir mevzuat
Tanımlamanın otomatikleştirilmesinin özünde yanlış olduğunu düşünmüyorum; ama şirketlerin rıza olmadan mümkün olan her insanı tanımlamaya çalışmasını son derece yanlış buluyorum
“Bu bilgiyi neden saklamak istiyorsun?” sorusunun cevabı sonunda “[bir kişi ya da grup], [özel verileri] kullanarak benim için [kötü bir sonuç] yaratabilir” korkusuna varıyor
İnsanların asıl önemsediği şey verinin kendisi değil, kötü sonuç riskidir
Bu eğilim doğruysa, odak bu tür kötü sonuçları yaratabilecek toplumsal işlemlerdeki asimetrik güç dengesizliklerini engellemek olmalı
Eskiden gizli belgelerin sızabileceğini düşünmek bile beni çıldırtacak gibi olurdu; ama kişisel verilerin ne kadar berbat işlendiğini görünce bunun neredeyse garanti olduğunu fark ettim
Gizlilik yasalarının nispeten iyi olduğu Avustralya’da bile Optus’taki büyük sızıntıyla nüfusun yaklaşık yarısının kredi kartı bilgileri çalındı, Medibank saldırısıyla da özel sağlık sigortası müşterilerinin önemli bir kısmının bilgileri ele geçirildi
Konut kredisine başvururken, mahalledeki küçük mortgage aracılarına bile her yıl yüzlerce ila binlerce hassas kimlik belgesinin e-postayla geldiğini ve işlem bittikten sonra bunları silmediklerini öğrendim
Avustralya’daki birçok şirket kimliği yalnızca ad, adres ve doğum tarihiyle doğruluyor; bunları da genelde 5 dakikalık bir aramayla kolayca bulabiliyorsunuz
Telstra hesabıma yıllarca yönetim değişikliklerini engellemesi gereken bir PIN ayarlamıştım; ama bir gün aradığımda şifreyi bile sormadan işlemi yaptılar
Gizliliğe saygı duyulacaksa, dolandırıcılık sorumluluğunu gerçek mağdur olan şirkete yüklemekten başka yol olmadığını düşünüyorum
“Kimliğim çalındı” şeklindeki eski şaka da aslında kimliğin çalınması değil; şirketin doğrulama süreci başarısız olduğu halde kayıp sorumluluğundan kaçmak için suçu başkasına atması
Bu yüzden artık yalnızca kredi kartı kullanıyorum
Yetkisiz kullanım olursa chargeback yapabiliyorum ve bu, paramıza yetkisiz erişimi fiilen engelleyebilen neredeyse tek mekanizma olduğu için
Son zamanlarda epey ürpertici bir şey yaşadım
Birkaç ay önce gittiğim hastaneden arayıp bir DNA analiz programına katılmamı istediler
“En iyi tarafı, hiçbir şey yapmanıza gerek olmaması. Geçen sefer aldığımız kan örneğini kullanabiliriz” dediler
Elbette reddettim; ama bana haber bile vermeden benimle bağlantılı biyolojik bir örneği saklamış olmaları ve sonradan DNA analizi bile yapabilecek olmaları akıl almazdı
Bu, ABD’de gizlilik yasalarının fiilen var olmadığına dair bir kanıt gibi geldi
AB’de rıza olmadan örnekleri dondurup saklayamazsınız; dondurulmamış örneklere de yalnızca birkaç gün kadar izin verilir
Vikipedi maddesi yalnızca İsveççe
Tahmin edilebileceği üzere, ya da ilginç biçimde, polis bu verilere erişemiyordu; ancak 2003’te bir hükümet bakanı öldürüldükten sonra bir şüphelinin örneğini elde etti
Bildiğim kadarıyla sonrasında kullanılmadı
Alaycı bakılabilir, ama şu ana kadar polisin bu kaydı kullanması yerleşik bir uygulamaya dönüşmedi ve mahkemeler tarafından kontrol ediliyor
O halde bir gizlilik yasası var sayılmaz mı?
Eski sonuçları ya da örnekleri düzenleme sürecinin bir adımı da olmuş olabilir
Bir şeyler tutarsız geliyor
“23andMe, veri sızıntısının müşterilerin parola yeniden kullanımı nedeniyle gerçekleştiğini söyledi” deniyor; ama tek seferde 14 bin hesap ele geçirildiyse o parolalar nereden çıktı?
LastPass gibi bağlantılı başka bir sızıntı mı vardı?
Ayrıca hacker’lar “DNA Relatives” özelliğiyle 6,9 milyon kişinin kişisel bilgilerine eriştiyse, başlangıçta ele geçirilen 14 bin hesabın her birinde yaklaşık 492 benzersiz akraba var demektir
Ben neyi kaçırıyorum?
Saldırganlar veriyi büyük ölçekli dağıtık bir ağla kazımış olabilir, ama en başta tespit ya da koruma olmaması daha olası
Ancak hesabımdaki akraba sayısını kontrol etmek için giriş yaptığımda 23andMe, parola yeniden kullanımını gerekçe göstererek girişimi engelledi ve sıfırlama istedi
Bu hesapta her zaman çok güçlü bir parola kullandım, hiçbir yerde yeniden kullanmadım ve iki faktörlü kimlik doğrulama da açıktı
Şirket de nedenin yeniden kullanılmış parola olduğu açıklamasından tamamen rahat görünmüyor
Hiç yeniden kullanmadığım parolayı sıfırladıktan sonra baktığımda DNA akrabaları panelinde 60 sayfa vardı; her sayfada 25 kişi gösteriliyordu, yani toplam 1500 akraba alınabiliyordu
Bunu rastgele 14 bin hesaptan kazırsanız oldukça büyük bir ağ oluşturabilirsiniz
Geçmişteki birçok parola sızıntısını bir araya getiren büyük listeler açıkça bulunabiliyor ve yalnızca saldırganlar değil herkes için erişmesi kolay
14 milyondan fazla kullanıcı içinde %0,1’e denk gelen 14 bin kişinin başka yerde sızmış parolaları yeniden kullanmış olması gayet makul
Troy Hunt’ın çalışmasıyla ilgili dünkü HN tartışmasında olduğu gibi, bu tür parolaları açıkça tespit edip geçersiz kılmıyorsanız durum daha da böyle
Kullanıcı adı ve parolalar 23andMe’den sızdıysa bu yeniden kullanım sorunu değil, sadece 23andMe’nin kimlik bilgileri listesini bulup kırmaktır
Başka web sitesi sızıntı listelerinde ya da birden fazla site sızıntısının birleştirilmiş listelerinde 14 bin 23andMe kullanıcısının çakışması hiç şaşırtıcı değil
Arayınca 23andMe’nin 14 milyon müşterisi olduğu görülüyor; 14 bin hesabın sızması, 1000 hesaptan 1’inin ele geçirilmesi demek
Benim DNA akrabaları listemde 1500’den biraz fazla kişi çıkıyor
Her hesabın 1/1000 olasılıkla hack’lendiğini varsayarsak, akrabalarımdan hiçbirinin hack’lenmemiş olma olasılığı (1-1/1000)^1500 = 0.223
En az bir akrabanın hack’lenmiş olma olasılığı 0.777 oluyor
Benim ortalama olduğumu varsayarsak, hack’lenmiş bir hesabı akrabası olarak barındıran kişi sayısının yaklaşık 10,8 milyon olması beklenir; bu da 6,9 milyon rakamına yeterince yakın görünüyor
23andMe’yi ciddi ciddi kullanmayı hiç düşünmedim
Hacker’lar yüzünden değil, devletin o bilgiyi nasıl kullanacağı yüzünden
Sırf soy ağacımı merak ettiğim için rastgele bir akrabanın suç şüphesi altına girmesinden sorumlu olmak istemem
Mahremiyet ve kişisel tanımlayıcı bilgi kaygılarının tamamen farkındayım, ama benim için kim olduğumu daha iyi anlamak ve beni çok sıcak karşılayan akrabaları bulmak açısından kesinlikle değerliydi
Sonuçta bu bir ödünleşim
Testi yapıp sonuçları gönderdikten sonra şirket tarafındaki test verileri ve bilgiler yok edilse ya da verinin evden çıkmadığı bir evde test mümkün olsa yaptırırım
Şirketlerin bu veriyi neden saklamaya devam ettiğini anlamakta zorlanıyorum
Muazzam bir sorumluluk yükü
Bu durumda akrabalık ilişkilerini belirleme özelliği yüzünden olabilir, ama o özelliğin bu riski almaya değip değmediği tartışılır
Bu teknolojiyle çözüldüğünü gördüğüm vakalar, yaptığım şey gerçekten kötü işler yapan birini durdurmaya yardımcı olduysa memnuniyetle iyi ki derdim türdendi
Genetik bilgi veritabanlarını ele geçirselerdi ne yapacaklarını hayal etmen yeterli
Tesadüfen dün başka bir başlıkta adameasterling’in credential stuffing saldırıları hakkında yazdığı mükemmel bir yorumu okudum [1]
“Troy Hunt gerçekten paha biçilmez biri. Bir web uygulaması geliştiricisiyseniz credential stuffing saldırılarına karşı koruma sağlamamak için bahaneniz yok. En iyi savunma muhtemelen iki faktörlü kimlik doğrulama, ama Hunt’ın hash’lenmiş parola veritabanıyla karşılaştırmak da çok iyi ve kullanıcıdan ek işlem istemiyor” diyordu
O yorum 60 gün önceki bir yazıda olmasına rağmen 23andMe’yi [2] örnek göstermişti ve bu olay TechCrunch makalesinde de anılıyor
[1] https://news.ycombinator.com/item?id=38521106
[2] https://news.ycombinator.com/item?id=37794379
Bu noktada veri toplayan bir şirketin eninde sonunda hack’leneceği hissine kapılıyorum
Mesele “olacak mı” değil, ne zaman olacak meselesi
Pazarlama materyali göndermek istemek iyi bir gerekçe değil
Güvenliğe yatırım yapmak genellikle iş önceliği olmadığı için
Bu, yalnızca yönetim için değil, yaptırım ve teşviklerle uygulayıcılar için de böyle işliyor
Bu büyük hack’lerin çoğu, iyi niyetli sıradan denetimlerle bile yakalanabilecek, iyi bilinen tehditlerden kaynaklanıyor
“Neyse ki artık genom izleme hizmeti sunuyoruz. Ayda yalnızca $79.99 karşılığında, biri genetik kayıtlarınıza erişmeye her çalıştığında bildirim alabilirsiniz!” — 23andMe
“Saklayacak bir şeyin yoksa korkacak neyin var?”
Ben, güçlü konumlarda bulunan aptal insanlardan korkuyorum
Suç çözme yöntemi olarak DNA eşleştirme zaten başından beri çok sorunluydu
“DNA kanıtı, pek çok kişinin inandığı kadar güvenilir değildir”
https://www.lexology.com/library/detail.aspx?g=2800ffc0-c286-4094-80a5-ad4419908bc0
“DNA testinin sahte vaadi”
https://www.theatlantic.com/magazine/archive/2016/06/a-reasonable-doubt/480747/
“Adli DNA kanıtı nasıl hatalı mahkûmiyetlere yol açabilir”
[https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convic…](https://daily.jstor.org/forensic-dna-evidence-can-lead-wrongful-convictions/)