Genetik test şirketi 23andMe, 2023 yılında meydana gelen büyük bir veri ihlalinin ardından İngiltere Bilgi Komiserliği Ofisi (ICO) tarafından 2,31 milyon sterlin para cezasına çarptırıldı. İhlal binlerce kişiyi etkiledi.
ICO, olayın nedeninin 23andMe tarafından uygulanan yetersiz güvenlik önlemleri olduğunu ve daha sonra iflas başvurusunda bulunan şirketin bunu tetiklediğini belirtti. Bilgi Komiseri John Edwards, “Bu, hassas kişisel bilgileri, aile geçmişlerini ve hatta sağlık durumlarını ortaya çıkaran son derece zararlı bir ihlaldi” dedi.
TTAM Araştırma Enstitüsü’ne satışı bekleyen şirket, “müşteri verilerinin ve gizliliğinin korunmasını artırmak için birkaç bağlayıcı taahhütte” bulundu.
Ekim 2023’teki ihlal, hacker’ların önceki veri sızıntılarından gelen parolaları kullanarak 14.000 23andMe hesabına erişim sağladığı “kimlik bilgisi doldurma” saldırısını içeriyordu. Bu, bu hesaplarla bağlantılı yaklaşık 6,9 milyon kişinin bilgilerini tehlikeye attı.
ICO’ya göre, bu, isimler, doğum yılları, konum verileri, profil resimleri, etnik köken, sağlık raporları ve aile ağaçlarını içeren 155.592 İngiliz sakini hakkındaki hassas verileri içeriyordu. Önemli olarak, DNA kayıtlarına erişilmedi.
Bay Edwards, ortaya çıkan bilgilerin geri döndürülemez doğasına vurgu yaparak, “Etkilenenlerden biri bize şöyle dedi: Bu bilgiler bir kere ortaya çıktıktan sonra, parola veya kredi kartı numarası gibi değiştirilemez veya yeniden verilemez” dedi.
ICO, İngiltere yasaları uyarınca “özel kategori verileri” olarak sınıflandırılan genetik veriler için daha sıkı düzenleyici gereklilikleri vurguluyor ve gelişmiş güvenlik önlemleri talep ediyor. Geçen Haziran’da Kanada’nın gizlilik komiseri ile birlikte yürütülen soruşturma, 23andMe’nin zorunlu çok faktörlü kimlik doğrulama eksikliği de dahil olmak üzere yetersiz kimlik doğrulama ve doğrulama protokollerinin, İngiltere veri koruma yasasını ihlal ettiğini tespit etti.
Diğer eksiklikler arasında zayıf parola gereksinimleri ve ham genetik veri indirmeleri için yetersiz doğrulama yer alıyordu. Bay Edwards, 23andMe’nin yetersiz güvenlik sistemlerini ve uyarı işaretlerine gecikmeli yanıtını eleştirerek, kullanıcı verilerini savunmasız bıraktı.
23andMe, bu sorunları 2024 sonuna kadar giderdiğini iddia ediyor. Hem ICO hem de Kanada Gizlilik Komiserliği Ofisi, kısa süre önce 23andMe’yi iflas süreçleri sırasında veri korumasını önceliklendirmeye çağırdı.
Revize edilmiş bir teklif sürecinin ardından, 23andMe Cuma günü varlıklarını kar amacı gütmeyen bir kuruluş olan TTAM Araştırma Enstitüsü’ne 305 milyon dolara sattığını duyurdu. Bu satış, veri silme ve araştırmadan çekilme seçenekleri de dahil olmak üzere mevcut müşteri korumalarının korunması için bağlayıcı taahhütleri içeriyor. Bir iflas mahkemesi, satış üzerinde Çarşamba günü inceleme yapacak.