Genetik analiz hizmeti sağlayıcısı 23andMe'nin karıştığı skandaldan üç yıl sonra yargı bir kez daha konuyla ilgileniyor. California Başsavcısı Rob Bonta, şirketi sunucularındaki şüpheli etkinlikleri görmezden gelmek, sağlam veri koruma önlemleri uygulamamak ve olay hakkında halkı yeterince bilgilendirmemekle suçluyor.
Reklamdan sonra devamını okuyun
Dava, şu anda 23andMe'nin sahibi olan “Chrome Holding”e karşı açılıyor ancak odak noktası hâlâ 23andMe. Genetik analiz sağlayıcısı bugün hala bu isim altında faaliyet göstermektedir ve kendi DNA'nızı analiz ettirme seçeneğini sunmaktadır. Bonta, soruşturmanın sonuçlarına atıfta bulunarak, 23andMe'nin, sızıntının 2023'te resmi olarak duyurulmasından çok önce sunucularında garip faaliyetler fark ettiği söyleniyor. Buna göre şirket, 6 Temmuz 2023'te giriş denemelerinde şüpheli bir artış fark etti; Tek bir gün içinde aynı müşteri hesabına bir milyondan fazla başarılı giriş yapıldığı söyleniyor. Ayrıca tek bir IP adresinden dakikada 1.300 giriş isteğinin geldiği söyleniyor. Bu kritik uyarı sinyaline rağmen Bonta, 23andMe'nin müşteri verilerini korumak için herhangi bir önlem almadığından şikayet ediyor.
Bonta: Uyarı sinyalleri aylar öncesinden veriliyor
Davaya göre, 11 Ağustos 2023'te Dark Web'de 23andMe müşteri verilerine ilişkin bir teklif ortaya çıktı ve bu, 23andMe alt dizisinde de tartışıldı. Şirket de bunu fark etti ancak herhangi bir önlem almadı veya ek güvenlik önlemi uygulamadı. Araştırmalar, saldırganların 2023 yılının Nisan ayından Ağustos ayına kadar sunuculara erişime sahip olduğunu gösterdi. Saldırının, kimlik bilgisi doldurma (yani 23andMe kullanıcılarının 23andMe ile aynı olan diğer web siteleri için oturum açma verileri çalınması) kullanılarak gerçekleştirildiği söyleniyor. Saldırganlar ayrıca 23andMe portalının, kullanıcıların “genetik akrabaları”, yani çok benzer DNA'ya sahip yabancıları bulmasını sağlaması beklenen bir işlevinden de yararlandı. Görünüşe göre bu işlev, 23andMe'deki 14.000 hesaba ilk erişim, sonuçta Bonta'ya göre bir milyonu Kaliforniya'dan gelen toplam yedi milyon müşterinin verilerine erişim sağlayacak şekilde uygulandı.
1 Ekim 2023'te 23andMe'nin müşteri verileri Dark Web'de satışa sunuldu, ancak sağlayıcının bu verilerin bir kısmının Aşkenazi Yahudi ve Çinli kullanıcılara ait veriler olduğunu açıkça belirttiği söyleniyor. Birkaç gün sonra yapılan bir basın açıklamasında 23andMe, kimlik bilgilerinin doldurulduğunu kabul etti, ancak herhangi bir güvenlik olayı yaşanmadığını iddia etti – Bonta için bu, etkilenenlerin büyük bir aldatmacasıydı, tıpkı 23andMe'nin güçlü güvenlik önlemleri sayesinde müşteri verilerinin emin ellerde olduğuna dair genel beyanı gibi. 23andMe ayrıca müşterilerini güçlü şifreler kullanmaları konusunda uyardı ve iki faktörlü kimlik doğrulamayı önerdi. Dava ise bunu şirketin suçu müşterilerine yüklediği şeklinde yorumluyor.
23andMe'nin siber suçlulara para ödediği söyleniyor
Patlayıcı olan, görünüşe göre Ekim 2023'te perde arkasında yaşananlar. 23andMe kamuoyunda olayı küçümserken, şirketin saldırganla temas halinde olduğu ve ona para ödediği söylendi. Diğer şeylerin yanı sıra, 23andMe'deki güvenlik açıklarına ilişkin bilgileri ortaya çıkaran veri sızıntısına ilişkin zararlı bilgilerin İnternetten kaybolmasının sağlanması. Akması gereken paranın kesin miktarı belirtilmedi.
Bonta, 23andMe'nin açıklanan uygulamalarının, Genetik Bilgi Gizliliği Yasası, Makul Veri Güvenliği Yasası ve Kaliforniya Tüketici Gizliliği Yasası dahil olmak üzere çeşitli Kaliforniya veri koruma yasalarına uygun olduğunu düşünmemektedir. Bu, Kaliforniya'nın ölümcül sızıntıdan bu yana 23andMe'ye karşı açtığı ikinci büyük dava. Devlet ayrıca geçen yıl şirketin eski CEO ve kurucu ortak Anne Wojcicki tarafından yönetilen bir STK'ya satılmasını da engellemeye çalıştı.
Reklamdan sonra devamını okuyun
Veri sızıntısı skandalı 23andMe'nin müşteri talebinde büyük bir düşüş yaşamasına ve başlangıçta şirketin iflas etmesine neden oldu. Bunu, ABD'nin iflas yasası uyarınca, ABD'li ilaç şirketi Regeneron Pharmaceuticals'ın en yüksek teklifi veren firma olarak ortaya çıktığı bir açık artırma izledi ve Wojcicki'nin STK'sı “TTAM Araştırma Enstitüsü” (“Yirmiüç ve Ben Araştırma Enstitüsü”) de başlangıçta 256 milyon ABD doları tutarındaki teklifiyle mağlup oldu. Ancak son anda Wojcicki yeni bir teklifle geri döndü ve sonuçta 305 milyon dolarlık sözleşmeyi kazandı. California, ABD eyaletinin görüşüne göre, genetik bilgilerin yeniden satışını yasaklayan Genetik Bilgi Gizliliği Yasasını ihlal ettiği için satışa karşı dava açmıştı.
Teknik portal The Register, 23andMe'den yorum almaya çalıştı. Bugün 23andMe, Chrome Holding ve TTAM Araştırma'nın bir ağıdır. Hakkında davanın devam ettiği Chrome Holding hakkında yorum yapılmazken, TTAM Araştırma Enstitüsü davadaki iddialara mesafeli davrandı. Eski, ticari olarak işletilen (ve iflas etmiş) 23andMe örgütünün uygulamalarıyla hiçbir ilgisi olmayan, yeni kurulmuş bir STK'dır. Ancak her iki örgütün başında olan ve halen başında olan kişi aynı: Bu hukuki anlaşmazlıkta adı ilginç olabilecek Anne Wojcicki.
(HAYIR)
Bir yanıt yazın