Genetik test şirketi 23andMe, toplu davada, geçen yıl yaklaşık yedi milyon profili etkileyen bir veri ihlali nedeniyle kişisel bilgileri açığa çıkan müşterilerin mahremiyetini korumamakla suçlanıyor.
Cuma günü San Francisco'daki federal mahkemede açılan davada, şirketin Çinli ve Aşkenazi Yahudi kökenli müşterilere hedef alındıkları veya kişisel genetik bilgilerinin derlendiği konusunda bilgi vermemekle de suçlandığı belirtildi. Dark Web'de paylaşılan ve satılan “özel olarak seçilmiş listeler”.
Dava, 23andMe'nin Kaliforniya Başsavcılığı'na şirketin ihlalin farkına varmadan önce, Nisan 2023'ün sonundan Eylül 2023'e kadar beş ay boyunca saldırıya uğradığını belirten bir bildirim göndermesinin ardından açıldı. TechCrunch tarafından bildirilen dosyaya göre şirket, ihlali 1 Ekim'de, resmi olmayan bir 23andMe alt dizisindeki bir bilgisayar korsanının müşteri verilerine sahip olduğunu iddia etmesi ve kanıt olarak bir örnek paylaşmasıyla öğrendi.
Şirket, ihlali ilk olarak 6 Ekim'de bir “tehdit aktörünün”, 23andMe müşterilerinin ele geçirilen diğer web sitelerini kullandığı eski şifreleri “geri dönüştürülmüş kimlik bilgilerini” kullanarak “belirli hesaplara” erişim sağladığını belirten bir blog gönderisinde açıkladı.
Şirket, “üçüncü taraf adli tıp uzmanlarının” yardımıyla dahili bir incelemeyi tamamladıktan sonra 5 Aralık'ta güncellenmiş bir blog gönderisinde ihlalin tüm boyutunu açıkladı. Davacıların avukatı Eli Wade-Scott'a göre, bu noktada kullanıcıların kişisel genetik bilgileri ve diğer hassas materyalleri iki ay boyunca karanlık ağda satışa sunuldu ve satışa sunuldu.
23andMe, davayla ilgili yorum taleplerine hemen yanıt vermedi.
Davacıları temsil eden diğer avukat Jay Edelson, 23andMe'nin gizliliğe yaklaşımının ve ortaya çıkan davanın, ihlal edilen verilerin hassasiyeti arttıkça “tüketici gizliliği yasasında bir paradigma değişikliğine” işaret ettiğini söyledi.
Bay Edelson Cuma günü bir e-postada şunları söyledi: “Şu anda veri ihlallerine baktığımızda ilk endişemiz, bilgilerin sistematik ve toplu olarak fiziksel olarak insanları taciz etmek veya zarar vermek için kullanılıp kullanılmayacağı olacaktır.” “Bir şirketin verileri korumak için ne zaman uygun şekilde hareket edeceğine ilişkin standart, en azından bu şekilde kullanılabilecek veri türü için artık daha yüksek.”
Davanın iki davacısından biri olan Florida'da yaşayan iki çocuk babası bir röportajda, geçen yıl doğum günü hediyesi olarak satın aldığı 23andMe kitinin Aşkenazi Yahudisi soyundan geldiğini gösterdiğini söyledi. Şikayette adı yalnızca baş harfleriyle anılan JL isimli adam, güvenliğinden korktuğunu söylediği için isminin gizli kalması koşuluyla konuştu.
Akrabalarıyla bağlantı kurmak istediğini ve bu nedenle, iyi bir genetik eşleşme olabilecek diğer 23andMe müşterileriyle seçilmiş bilgileri paylaşan DNA Akrabaları adlı bir özelliğe karar verdiğini söyledi.
23andMe Aralık ayında yaptığı açıklamada, hackerın bu özelliğe ve 5,5 milyon DNA akraba profilinden gelen bilgilere erişim sağladığını söyledi. Profiller müşterinin coğrafi konumunu, doğum yılını, aile ağacını ve yüklenen fotoğraflarını içerebilir.
Bilgisayar korsanı ayrıca “Aile Ağacı” adlı özelliğe erişerek 1,4 milyon müşterinin daha profil bilgilerine ulaşmayı başardı.
23andMe, JL'ye ve diğer milyonlarca kullanıcıya verilerinin ihlal edildiğini bildirdikten sonra JL, İsrail ile Gazze arasındaki çatışmanın körüklediği Yahudi karşıtı nefret söylemi ve şiddetin artması nedeniyle hedef haline gelebileceğinden korktuğunu söyledi.
“Artık bilgi ortada olduğuna göre, birileri gelip hayal kırıklıklarını gidermeye karar verebilir” dedi.
1 Ekim'de kendisine “Golem” adını veren ve “Yüzüklerin Efendisi” filmlerindeki Gollum'un resmini avatar olarak kullanan bir hacker, BreachForums'ta Yahudi asıllı 1 milyondan fazla 23andMe kullanıcısının kişisel bilgilerini sızdırdı. dava, siber suçlular tarafından kullanılan çevrimiçi bir forum. Veriler kullanıcıların tam adlarını, ev adreslerini ve doğum tarihlerini içeriyordu.
Davada, Golem'in daha sonra forumda “Wuhan” takma adını kullanan birinden gelen “Çin hesaplarına” erişim talebine, 100.000 Çinli müşterinin profil bilgilerine bir bağlantıyla yanıt verdiği belirtiliyor. Davada, Golem'in Çinli müşterilerin toplam 350.000 profil kaydına sahip olduğunu ve ilgi olması halinde geri kalanını serbest bırakmayı teklif ettiğini söyledi.
İddiaya göre Golem, 17 Ekim'de foruma geri döndü ve Gazze'deki El-Ahli Arap Hastanesi'nde meydana gelen ölümcül patlamanın ardından satışa sunduğu “Siyonizm'e hizmet eden varlıklı ailelere” ilişkin verilerinin bulunduğunu söyledi. İsrailli yetkililer ve Filistinli militanlar patlamadan birbirlerini sorumlu tuttu, ancak İsrail ve Amerikan istihbarat teşkilatları bunun Filistinlilerin başarısız roket fırlatmasından kaynaklandığını iddia ediyor.
Davacılar jürili duruşma ve belirtilmemiş tazminat, ceza ve diğer zararların tazmin edilmesini talep ediyorlar.
Davada, “Mevcut jeopolitik ve sosyal iklimin, verileri ifşa edilen kullanıcılar için riskleri artırdığı” belirtiliyor. New Jersey Demokratı Temsilci Josh Gottheimer, bu ayın başlarında FBI'a ihlalle ilgili bir soruşturma yapılması çağrısında bulunarak, odak noktasının Aşkenaz Yahudileri olduğunu belirtti.
Bay Gottheimer, FBI direktörü Christopher Wray'e yazdığı bir mektupta, “Sızan veriler Hamas'ın, destekçilerinin ve çeşitli uluslararası aşırı grupların Amerikan Yahudi nüfusunu ve ailelerini hedef almasına olanak sağlayabilir” diye yazdı.
Los Angeles Kaliforniya Üniversitesi'nin bilgi bilimleri bölümünde profesör olan Ramesh Srinivasan, bu tür ihlallerin devam etmesinin kaçınılmaz olduğunu söyledi.
Sorunun, şirketlerin bu sorunları ciddi önlemlerle (örneğin, güvenliği sıkılaştırarak veya veri depolamayı sınırlandırarak) çözüp çözmeyecekleri veya bir dahaki sefere daha iyisini yapma sözü vererek sadece yara bandı mı uygulayacakları olduğunu söyledi.
“Hayatımızın verileştirilmesi söz konusu olduğunda uçuruma bakıyoruz” dedi.
Cuma günü San Francisco'daki federal mahkemede açılan davada, şirketin Çinli ve Aşkenazi Yahudi kökenli müşterilere hedef alındıkları veya kişisel genetik bilgilerinin derlendiği konusunda bilgi vermemekle de suçlandığı belirtildi. Dark Web'de paylaşılan ve satılan “özel olarak seçilmiş listeler”.
Dava, 23andMe'nin Kaliforniya Başsavcılığı'na şirketin ihlalin farkına varmadan önce, Nisan 2023'ün sonundan Eylül 2023'e kadar beş ay boyunca saldırıya uğradığını belirten bir bildirim göndermesinin ardından açıldı. TechCrunch tarafından bildirilen dosyaya göre şirket, ihlali 1 Ekim'de, resmi olmayan bir 23andMe alt dizisindeki bir bilgisayar korsanının müşteri verilerine sahip olduğunu iddia etmesi ve kanıt olarak bir örnek paylaşmasıyla öğrendi.
Şirket, ihlali ilk olarak 6 Ekim'de bir “tehdit aktörünün”, 23andMe müşterilerinin ele geçirilen diğer web sitelerini kullandığı eski şifreleri “geri dönüştürülmüş kimlik bilgilerini” kullanarak “belirli hesaplara” erişim sağladığını belirten bir blog gönderisinde açıkladı.
Şirket, “üçüncü taraf adli tıp uzmanlarının” yardımıyla dahili bir incelemeyi tamamladıktan sonra 5 Aralık'ta güncellenmiş bir blog gönderisinde ihlalin tüm boyutunu açıkladı. Davacıların avukatı Eli Wade-Scott'a göre, bu noktada kullanıcıların kişisel genetik bilgileri ve diğer hassas materyalleri iki ay boyunca karanlık ağda satışa sunuldu ve satışa sunuldu.
23andMe, davayla ilgili yorum taleplerine hemen yanıt vermedi.
Davacıları temsil eden diğer avukat Jay Edelson, 23andMe'nin gizliliğe yaklaşımının ve ortaya çıkan davanın, ihlal edilen verilerin hassasiyeti arttıkça “tüketici gizliliği yasasında bir paradigma değişikliğine” işaret ettiğini söyledi.
Bay Edelson Cuma günü bir e-postada şunları söyledi: “Şu anda veri ihlallerine baktığımızda ilk endişemiz, bilgilerin sistematik ve toplu olarak fiziksel olarak insanları taciz etmek veya zarar vermek için kullanılıp kullanılmayacağı olacaktır.” “Bir şirketin verileri korumak için ne zaman uygun şekilde hareket edeceğine ilişkin standart, en azından bu şekilde kullanılabilecek veri türü için artık daha yüksek.”
Davanın iki davacısından biri olan Florida'da yaşayan iki çocuk babası bir röportajda, geçen yıl doğum günü hediyesi olarak satın aldığı 23andMe kitinin Aşkenazi Yahudisi soyundan geldiğini gösterdiğini söyledi. Şikayette adı yalnızca baş harfleriyle anılan JL isimli adam, güvenliğinden korktuğunu söylediği için isminin gizli kalması koşuluyla konuştu.
Akrabalarıyla bağlantı kurmak istediğini ve bu nedenle, iyi bir genetik eşleşme olabilecek diğer 23andMe müşterileriyle seçilmiş bilgileri paylaşan DNA Akrabaları adlı bir özelliğe karar verdiğini söyledi.
23andMe Aralık ayında yaptığı açıklamada, hackerın bu özelliğe ve 5,5 milyon DNA akraba profilinden gelen bilgilere erişim sağladığını söyledi. Profiller müşterinin coğrafi konumunu, doğum yılını, aile ağacını ve yüklenen fotoğraflarını içerebilir.
Bilgisayar korsanı ayrıca “Aile Ağacı” adlı özelliğe erişerek 1,4 milyon müşterinin daha profil bilgilerine ulaşmayı başardı.
23andMe, JL'ye ve diğer milyonlarca kullanıcıya verilerinin ihlal edildiğini bildirdikten sonra JL, İsrail ile Gazze arasındaki çatışmanın körüklediği Yahudi karşıtı nefret söylemi ve şiddetin artması nedeniyle hedef haline gelebileceğinden korktuğunu söyledi.
“Artık bilgi ortada olduğuna göre, birileri gelip hayal kırıklıklarını gidermeye karar verebilir” dedi.
1 Ekim'de kendisine “Golem” adını veren ve “Yüzüklerin Efendisi” filmlerindeki Gollum'un resmini avatar olarak kullanan bir hacker, BreachForums'ta Yahudi asıllı 1 milyondan fazla 23andMe kullanıcısının kişisel bilgilerini sızdırdı. dava, siber suçlular tarafından kullanılan çevrimiçi bir forum. Veriler kullanıcıların tam adlarını, ev adreslerini ve doğum tarihlerini içeriyordu.
Davada, Golem'in daha sonra forumda “Wuhan” takma adını kullanan birinden gelen “Çin hesaplarına” erişim talebine, 100.000 Çinli müşterinin profil bilgilerine bir bağlantıyla yanıt verdiği belirtiliyor. Davada, Golem'in Çinli müşterilerin toplam 350.000 profil kaydına sahip olduğunu ve ilgi olması halinde geri kalanını serbest bırakmayı teklif ettiğini söyledi.
İddiaya göre Golem, 17 Ekim'de foruma geri döndü ve Gazze'deki El-Ahli Arap Hastanesi'nde meydana gelen ölümcül patlamanın ardından satışa sunduğu “Siyonizm'e hizmet eden varlıklı ailelere” ilişkin verilerinin bulunduğunu söyledi. İsrailli yetkililer ve Filistinli militanlar patlamadan birbirlerini sorumlu tuttu, ancak İsrail ve Amerikan istihbarat teşkilatları bunun Filistinlilerin başarısız roket fırlatmasından kaynaklandığını iddia ediyor.
Davacılar jürili duruşma ve belirtilmemiş tazminat, ceza ve diğer zararların tazmin edilmesini talep ediyorlar.
Davada, “Mevcut jeopolitik ve sosyal iklimin, verileri ifşa edilen kullanıcılar için riskleri artırdığı” belirtiliyor. New Jersey Demokratı Temsilci Josh Gottheimer, bu ayın başlarında FBI'a ihlalle ilgili bir soruşturma yapılması çağrısında bulunarak, odak noktasının Aşkenaz Yahudileri olduğunu belirtti.
Bay Gottheimer, FBI direktörü Christopher Wray'e yazdığı bir mektupta, “Sızan veriler Hamas'ın, destekçilerinin ve çeşitli uluslararası aşırı grupların Amerikan Yahudi nüfusunu ve ailelerini hedef almasına olanak sağlayabilir” diye yazdı.
Los Angeles Kaliforniya Üniversitesi'nin bilgi bilimleri bölümünde profesör olan Ramesh Srinivasan, bu tür ihlallerin devam etmesinin kaçınılmaz olduğunu söyledi.
Sorunun, şirketlerin bu sorunları ciddi önlemlerle (örneğin, güvenliği sıkılaştırarak veya veri depolamayı sınırlandırarak) çözüp çözmeyecekleri veya bir dahaki sefere daha iyisini yapma sözü vererek sadece yara bandı mı uygulayacakları olduğunu söyledi.
“Hayatımızın verileştirilmesi söz konusu olduğunda uçuruma bakıyoruz” dedi.