İhlal Bildirimi ve İfşa
23andMe, Kaliforniya Başsavcılığı’na, şirketin Nisan sonundan Eylül 2023’e kadar saldırıya uğradığını doğrulayan bir bildirim sundu. Şirket, ihlali ilk olarak 6 Ekim’de bir blog gönderisinde açıkladı ve burada bir “tehdit aktörünün” varlığından bahsetti. güvenliği ihlal edilmiş harici sitelerden “geri dönüştürülmüş oturum açma kimlik bilgilerini” kullanarak “belirli hesaplara” erişim elde etti. Ancak, kullanıcıların kişisel genetik bilgilerinin açığa çıkması da dahil olmak üzere ihlalin tam kapsamı, üçüncü taraf adli tıp uzmanlarıyla yapılan dahili incelemenin ardından ancak 5 Aralık’ta güncellenmiş bir blog gönderisinde açıklandı.
Sonuçlar ve Davanın Önemi
Davacıları temsil eden avukatlardan biri olan Jay Edelson’a göre dava, tüketici gizliliği yasasında bir değişiklik anlamına geliyor. Kendisi, ihlal edilen veri hassasiyetinin artık ilk endişenin, bu tür bilgilerin fiziksel taciz veya kitlesel ölçekte zarar vermek için kullanılıp kullanılamayacağı olduğu noktaya ulaştığına inanıyor. İhlalin karmaşıklığı, müşterilerin DNA Akrabaları adı verilen bir özelliği tercih etmesinden kaynaklanmaktadır; bu, coğrafi konum, doğum yılı, soy ağacı ve yüklenen fotoğraflar da dahil olmak üzere 5,5 milyon DNA Akrabasının profil bilgilerinin potansiyel olarak açığa çıkmasıyla sonuçlanmıştır.
Hacker’ın Eylemleri
Davada, “Golem” adını ve avatar olarak Gollum’un resmini kullanan bilgisayar korsanının, çevrimiçi BreachForums forumunda Yahudi kökenli 1 milyondan fazla 23andMe kullanıcısının kişisel verilerini sızdırdığı iddia ediliyor. Sızan veriler kullanıcıların tam adlarını, ev adreslerini ve doğum tarihlerini içeriyordu. Ayrıca hacker, 100.000 Çinli müşterinin profil bilgilerine erişim olanağı sundu ve 350.000 kayıt daha satışa sunuldu. Dava, mevcut jeopolitik ve sosyal ortamda, özellikle de Amerikan Yahudi nüfusunun potansiyel olarak hedeflenmesiyle ilgili olarak kullanıcıların karşı karşıya kaldığı artan riskleri vurguladı.
Daha Kapsamlı Etkiler ve Gelecekteki Önlemler
Los Angeles’taki California Üniversitesi’nden profesör Ramesh Srinivasan, benzer ihlallerin muhtemelen devam edeceğini öne sürüyor. Şirketlerin buna nasıl tepki vereceği sorusunu gündeme getiriyor: güvenliği artırmak ve veri saklamayı sınırlamak gibi ciddi önlemler alarak veya altta yatan sorunlara değinmeden yalnızca yüzeysel çözümler uygulayarak. Bu ihlal, insanların yaşamlarının giderek daha fazla verileştirilmesiyle bağlantılı olarak artan tehlikeleri hatırlatıyor.